管理组
本文解释管理员如何创建和管理Databricks组。有关Databricks标识模型的概述,请参见数据库身份和角色.
群组管理概述
通过更容易地分配对工作空间、数据和其他安全对象的访问,组简化了身份管理。所有Databricks身份都可以分配为组的成员。
帐户组和工作空间-本地组之间的区别
而在工作空间级别创建的用户和服务主体则是自动同步到帐户,在工作空间级别创建的组则不是。相反,Databricks的概念是账户组而且workspace-local组.
账户组只能由帐户管理员使用帐户级接口创建。
Workspace-local组只能由工作区管理员使用工作区级接口创建。
管理员帐户可以通过以下接口管理组:
帐户控制台
为标识提供程序提供连接器(例如谷歌云身份)
工作空间管理员可以使用以下接口管理工作空间中的组:
工作区管理控制台
为标识提供程序提供连接器(例如谷歌云身份)
向您的帐户添加组
作为帐户管理员,您可以使用帐户控制台、标识提供程序的供应连接器或SCIM(帐户)API向Databricks帐户添加组。
使用帐户控制台向帐户添加组
要使用帐户控制台向帐户添加组,请执行以下操作:
以admin帐户登录账户控制台.
点击
用户管理.在组选项卡上,单击添加组.
输入组的名称。
点击确认.
根据提示,将用户、服务主体和组添加到组中。
用户管理.使用帐户控制台将用户、服务主体和组添加到现有组中
要使用帐户控制台将用户、服务主体和组添加到现有组,请执行以下操作:
以admin帐户登录账户控制台.
点击
用户管理.在组选项卡,选择要更新的组。
点击添加成员.
搜索要添加的用户、组或服务主体并选择它。
点击添加.
从身份提供者将组同步到Databricks帐户
您可以使用SCIM配置连接器将组从标识提供程序(IdP)同步到Databricks帐户。有关说明,请参见为Databricks帐户提供身份.
使用SCIM api向您的帐户添加组
帐户管理员可以使用SCIM帐户API在Databricks帐户中添加和管理组。
工作区管理员不能使用此API添加组,但他们可以列出和查看组。要做到这一点,他们必须使用不同的端点URL调用API:
帐户管理员使用
accounts.gcp.www.neidfyre.com/api/2.0/accounts/ {account_id} / scim / v2 /.工作区管理员使用
{workspace-domain} / api / 2.0 /账户/ scim / v2 /.
工作区管理员不能使用帐户的SCIM API创建组。
要使用SCIM api添加一个组,帐户管理员执行以下操作:
使用SCIM API 2.0(帐户)来确定组是否已经存在。
如果组不存在,请使用相同的API创建组。
使用相同的API向组中添加成员。
详细信息请参见SCIM API 2.0(帐户).
将帐户admin角色分配给组
不能使用帐户控制台将帐户管理角色分配给组,但可以使用用于帐户的SCIM API将其分配给组。看到SCIM API 2.0(帐户).
从Databricks帐户中删除组
帐户管理员可以从Databricks帐户中删除组。工作空间管理员则不能。
重要的
当您删除一个组时,该组中的所有用户都将从帐户中删除,并且无法访问他们曾经访问过的任何工作区,除非他们是另一个组的成员,或者直接被授予访问帐户或任何工作区的权限.您应该避免删除帐户级别的组,除非您希望它们失去对帐户中所有工作区的访问权。删除用户的后果如下:
使用用户生成的令牌的应用程序或脚本将不再能够访问Databricks API
用户拥有的作业将失败
用户所属的集群将停止运行
由用户创建并使用Run as Owner凭据共享的查询或仪表板必须分配给新的所有者,以防止共享失败
使用帐户控制台删除组,请执行以下操作:
以admin帐户登录账户控制台.
点击
用户管理.在组选项卡,找到要删除的组。
单击
在用户行最右侧的烤肉菜单中选择删除.在弹出的确认对话框中,单击确认删除.
在用户行最右侧的烤肉菜单中选择删除.如果使用帐户控制台删除组,则必须确保还使用已为帐户设置的任何SCIM供应连接器或SCIM API应用程序删除组。如果您不这样做,SCIM配置将在下次同步时简单地将组及其成员添加回来。看到从您的标识提供程序同步用户和组.
若要使用SCIM api从Databricks帐户中删除组,请参见为Databricks帐户提供身份而且SCIM API 2.0(帐户).
管理工作空间-本地组
工作空间管理员可以使用工作空间管理控制台、IdP供应连接器和REST api添加和管理工作空间本地组。
使用管理控制台将工作空间-本地组添加到工作空间
工作区管理员可以使用工作区管理控制台添加和管理工作区-本地组。
您可以使用工作区管理控制台执行以下操作:
添加和删除工作区-本地组。
授予和撤销工作区-本地组中的成员资格,包括
管理员组。管理团队的权利如下:
授予和撤销对Data Science & Engineering工作区和Databricks SQL权限的访问权。
授予和撤销创建集群的能力(如果集群访问控制已为工作区启用)。
要使用管理控制台将工作空间-本地组添加到工作空间,请执行以下操作:
作为一个工作空间管理员,登录到Databricks工作空间。
在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台.
在组选项卡上,单击添加组.
输入组名,单击确认.
组名不能重复。不能修改组名。如果要更改组名,必须先删除该组,然后使用新名称重新创建。
使用管理控制台将用户、服务主体和组添加到工作空间-本地组
请注意
属性中不能添加子组管理员组。
作为一个工作空间管理员,登录到Databricks工作空间。
在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台.
在组选项卡,选择要更新的组。
在成员选项卡上,单击添加用户、组或服务主体.
在对话框中,浏览或搜索要添加的用户、服务主体和组并选择它们。
点击确认.
您可能需要单击选择器中的向下箭头来隐藏下拉列表并显示确认按钮。
从工作空间-本地组中删除用户、组或服务主体
作为一个工作空间管理员,登录到Databricks工作空间。
在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台.
选择要更新的组。
在成员选项卡,找到要删除的用户、组或服务主体,然后单击X在行动列。
点击删除成员来确认。
用户、组或服务主体将失去所有子组成员资格和凭借该组成员资格授予的权利。但是,身份可以通过其他组的成员资格或用户级别的授权来保留这些权利。
请注意
控件,还可以从父工作区-本地组中删除子工作区-本地组父母TAB中显示要删除的组。找到要从中删除子工作空间-本地组的父组,并单击X在行动列。
分配给父组的所有权限将从该组成员中删除。但是,由于他们是其他组的成员或用户级别的授权,他们可能保留这些权利。
管理组的工作空间权限
授权是允许用户、服务主体或组以指定的方式与Databricks交互的属性。授权被分配给工作空间级别的用户。下表列出了用于管理每个授权的工作区UI和API属性名。您可以使用工作区管理控制台和工作区级别SCIM REST接口权限管理。
授权名称(UI) |
授权名称(API) |
默认的 |
描述 |
|---|---|---|---|
工作空间的访问 |
|
默认允许。 |
当授予用户或服务主体时,他们可以访问数据科学与工程和Databricks机器学习基于人物的环境。 不能从工作空间管理员中删除。 |
Databricks SQL访问 |
|
默认允许。 |
当授予用户或服务主体时,它们可以访问Databricks SQL。 |
允许无限制地创建集群 |
|
默认情况下不授予用户或服务主体。 |
当授予用户或服务主体时,它们可以创建集群。可以使用。限制对现有集群的访问集群级别的权限. 不能从工作空间管理员中删除。 |
允许创建池(不能通过UI) |
|
不能授予单个用户或服务主体。 |
当授予一个组时,其成员可以创建实例池。 不能从工作空间管理员中删除。 |
您可以在工作空间级别管理组权限,而不管组是在帐户中创建的,还是在工作空间本地创建的。