管理用户、服务主体和组
本文介绍Databricks身份管理模型,并概述如何在Databricks中管理用户、组和服务主体。
数据库身份和角色
有三种类型的Databricks身份:
用户:由Databricks识别并以电子邮件地址表示的用户身份。
服务主体:用于作业、自动化工具和系统(如脚本、应用程序和CI/CD平台)的身份。bob体育客户端下载
组:管理员用来管理组对工作空间、数据和其他安全对象的访问的身份集合。所有Databricks身份都可以分配为组的成员。
在Databricks中定义了四种角色:
账户管理员可以管理帐户配置,如工作空间创建、网络和存储配置、审计日志记录、计费和其他帐户管理的分配。的账户所有者是最初设置帐户的用户。他们添加了第一个帐户管理员。
工作空间管理员是否可以添加和管理工作空间用户和组,分配工作空间管理角色传递给其他工作空间用户、管理集群策略,以及管理工作空间用户对工作空间中对象的访问。
用户帐户可以使用帐户控制台查看并连接到他们的工作空间。帐户和工作空间管理员可以向帐户添加用户。
工作空间的用户在工作区中执行数据科学、数据工程和数据分析任务。
添加、更新和删除标识
帐户管理员可以使用帐户控制台、到您的身份提供程序的连接器或SCIM(帐户)REST API管理用户、服务主体和组。工作空间管理员可以使用工作空间管理控制台、到IdP提供者的连接器或工作空间级用户管理REST api添加和管理用户、服务主体和组,以及他们对工作空间对象的访问。
详细说明请参见:
Databricks如何在工作空间和帐户之间同步用户?
从2022年9月开始,将在几周内推出,所有现有的工作区用户和服务主体将作为帐户级用户和服务主体自动同步到您的帐户。如果工作区用户与已经存在的帐户级用户或管理员共享用户名(电子邮件地址),则合并这些用户。
一旦进行了初始同步,Databricks将继续将用户和服务主体同步到帐户,无论何时将它们添加到工作区。
重要的
如果帐户管理员在帐户级别删除用户或服务主体,则该用户也将从其工作区中删除,无论是否启用了身份联合。您应该避免删除帐户级别的用户或服务主体,除非您希望他们失去对帐户中所有工作区的访问权。删除用户的后果如下:
使用用户生成的令牌的应用程序或脚本将不再能够访问Databricks API。
用户拥有的作业将失败。
用户所属的集群将停止运行。
由用户创建并使用Run as Owner凭据共享的查询或仪表板必须分配给新的所有者,以防止共享失败。
团体特别注意事项
而在工作空间级别创建的用户是自动同步到帐户,在工作空间级别创建的组则不是。相反,Databricks的概念是账户组而且workspace-local组,具有特殊的行为:
账户组只能由管理员帐户创建。
Workspace-local组只能由工作空间管理员创建。
有关组的详细信息,请参见管理组.