管理组
本文解释管理员如何创建和管理Databricks组。有关Databricks标识模型的概述,请参见数据库身份和角色.
群组管理概述
通过更容易地分配对工作空间、数据和其他安全对象的访问,组简化了身份管理。所有Databricks身份都可以分配为组的成员。
帐户组和工作空间-本地组之间的区别
而在工作空间级别创建的用户和服务主体则是自动同步到帐户,在工作空间级别创建的组则不是。相反,Databricks的概念是账户组而且workspace-local组.
账户组只能由帐户管理员使用帐户级接口创建。帐户管理员可以将这些组分配给工作空间,并为它们配置跨工作空间的数据访问,只要这些工作空间使用联合身份验证.
Workspace-local组只能由工作区管理员使用工作区级接口创建。这些群体被认定为workspace-local在工作空间管理控制台和帐户控制台中工作空间权限选项卡上。类中的数据不能被分配给其他工作区或授予对数据的访问权统一目录metastore。
Databricks建议使用帐户组而不是工作空间-本地组。为了使用帐户组,必须为身份联合启用工作空间。如果您在现有的工作空间中启用身份联合,您可以同时使用帐户组和工作空间-本地组,但Databricks建议将工作空间-本地组转换为帐户组,以利用使用Unity Catalog的集中式工作空间分配和数据访问管理。
谁可以管理组,他们可以使用哪些接口?
要在“数据库”中管理组,必须是账户管理或者一个工作空间管理.
账户管理员可以向帐户添加组和管理组成员。他们还可以为工作空间分配组,并配置跨工作空间的数据访问,只要这些工作空间使用联合身份验证.
工作空间管理员可以将帐户组添加到其Databricks工作空间并管理对工作空间中对象和功能的访问,例如创建集群或池的能力,只要这些工作空间使用联合身份验证.工作区管理员不能创建或管理帐户组。工作空间管理员可以创建和管理工作空间本地组。
的成员
管理员
组,这是一个不能删除的保留组。
管理员帐户可以通过以下接口管理组:
帐户控制台
为标识提供程序提供连接器(例如,Okta或Azure Active Directory)
工作空间管理员可以使用以下接口管理工作空间中的组:
工作区管理控制台
为标识提供程序提供连接器(例如,Okta或Azure Active Directory)
的SCIM(帐户)API(通过调用
{workspace-domain} / api / 2.0 /账户/ scim / v2 /
)
向您的帐户添加组
作为帐户管理员,您可以使用帐户控制台、标识提供程序的供应连接器或SCIM(帐户)API向Databricks帐户添加组。
使用帐户控制台向帐户添加组
要使用帐户控制台向帐户添加组,请执行以下操作:
以admin帐户登录账户控制台.
点击用户管理.
在组选项卡上,单击添加组.
输入组的名称。
点击确认.
根据提示,将用户、服务主体和组添加到组中。
使用帐户控制台将用户、服务主体和组添加到现有组中
要使用帐户控制台将用户、服务主体和组添加到现有组,请执行以下操作:
以admin帐户登录账户控制台.
点击用户管理.
在组选项卡,选择要更新的组。
点击添加成员.
搜索要添加的用户、组或服务主体并选择它。
点击添加.
要让组成员访问工作空间,您需要将组添加到工作空间。看到向工作区添加组.
重要的
如果您已经拥有将标识直接同步到工作空间的SCIM连接器并且这些工作区为身份联合启用,当启用帐户级SCIM连接器时,应该禁用那些SCIM连接器。如果您的工作区没有使用身份联合,那么您应该继续使用为这些工作区配置的任何SCIM连接器,并与帐户级SCIM连接器并行运行。
从身份提供者将组同步到Databricks帐户
您可以使用SCIM配置连接器将组从标识提供程序(IdP)同步到Databricks帐户。有关说明,请参见为Databricks帐户提供身份.
使用SCIM api向您的帐户添加组
帐户管理员可以使用SCIM帐户API在Databricks帐户中添加和管理组。
工作区管理员不能使用此API添加组,但他们可以列出和查看组。要做到这一点,他们必须使用不同的端点URL调用API:
帐户管理员使用
accounts.cloud.www.neidfyre.com/api/2.0/accounts/ {account_id} / scim / v2 /
.工作区管理员使用
{workspace-domain} / api / 2.0 /账户/ scim / v2 /
.
工作区管理员不能使用帐户的SCIM API创建组。
要使用SCIM api添加一个组,帐户管理员执行以下操作:
使用SCIM API 2.0(帐户)来确定组是否已经存在。
如果组不存在,请使用相同的API创建组。
使用相同的API向组中添加成员。
属性将组分配到工作区工作空间分配API.
详细信息请参见SCIM API 2.0(帐户).
将帐户admin角色分配给组
不能使用帐户控制台将帐户管理角色分配给组,但可以使用用于帐户的SCIM API将其分配给组。看到SCIM API 2.0(帐户).
从Databricks帐户中删除组
帐户管理员可以从Databricks帐户中删除组。工作空间管理员则不能。
重要的
当您删除一个组时,该组中的所有用户都将从帐户中删除,并且无法访问他们曾经访问过的任何工作区,除非他们是另一个组的成员,或者直接被授予访问帐户或任何工作区的权限.您应该避免删除帐户级别的组,除非您希望它们失去对帐户中所有工作区的访问权。删除用户的后果如下:
使用用户生成的令牌的应用程序或脚本将不再能够访问Databricks API
用户拥有的作业将失败
用户所属的集群将停止运行
由用户创建并使用Run as Owner凭据共享的查询或仪表板必须分配给新的所有者,以防止共享失败
使用帐户控制台删除组,请执行以下操作:
以admin帐户登录账户控制台.
点击用户管理.
在组选项卡,找到要删除的组。
单击在用户行最右侧的烤肉菜单中选择删除.
在弹出的确认对话框中,单击确认删除.
如果使用帐户控制台删除组,则必须确保还使用已为帐户设置的任何SCIM供应连接器或SCIM API应用程序删除组。如果您不这样做,SCIM配置将在下次同步时简单地将组及其成员添加回来。看到从您的标识提供程序同步用户和组.
若要使用SCIM api从Databricks帐户中删除组,请参见为Databricks帐户提供身份而且SCIM API 2.0(帐户).
将工作空间-本地组迁移到帐户组
本节仅适用于启用的工作区联合身份验证.
在工作空间级别创建的组(工作空间-本地组)不会自动作为帐户组同步到帐户。您可以在定义工作区的工作区中使用工作区-本地组,但不能使用帐户级接口管理它们,也不能使用Unity Catalog跨工作区管理数据访问。因此,Databricks建议您将它们转换为帐户组。
您可以使用以下任何一种方法将工作区-本地组迁移到帐户级别:
手动转换它们。使用帐户控制台创建一个新的帐户组,并将每个成员添加到新帐户。然后使用工作区管理控制台删除工作区-本地组。
使用SCIM供应连接器转换它们。设置或修改SCIM供应连接器,将一个组添加到复制工作空间-本地组的帐户。然后使用工作区管理控制台或工作区级别的SCIM(组)API删除组。如果您有一个活动的工作空间的SCIM供应连接器,那么您应该关闭它。您应该在帐户级别提供所有用户和组。
使用SCIM api转换它们。使用SCIM(帐户)API向复制工作空间-本地组的帐户添加一个组。然后使用工作区管理控制台或工作区级别的SCIM(组)API删除组。
在将工作空间-本地组迁移到帐户后,您需要授予新帐户组对工作空间以及工作空间-本地组具有访问权限的对象和功能的访问权限,以便组成员能够维护该访问权限。遵循向工作区添加组为新帐户组分配工作空间权限,并使用权限API 2.0授予组对工作区内对象的访问权。
向工作区添加组
帐户管理员可以使用以下方法将组添加到身份联邦工作区:
帐户控制台
为标识提供程序提供连接器比如Okta或Azure活动目录。
工作空间管理员可以使用以下方法在工作空间中添加组并管理它们:
工作区管理控制台
为标识提供程序提供连接器(例如,Okta或Azure Active Directory)
工作空间级别的SCIM api:工作空间的SCIM API 2.0(组)而且Groups API 2.0(遗留)
工作空间分配API(如果工作区启用了身份联合)
使用帐户控制台将组分配到工作区
若要使用帐户控制台向工作空间添加组,必须启用该工作空间联合身份验证.只有帐户级别的组是可分配的。
以admin帐户登录账户控制台.
点击工作区.
在权限选项卡上,单击添加权限.
搜索并选择组,分配权限级别(工作区用户或管理),然后按保存.
使用REST api将组分配给工作空间
您将使用不同的REST api将组分配给工作空间,这取决于工作空间是否启用了身份联合,如下所示:
为身份联合启用的工作区:帐户管理员可以使用帐户级别的工作区分配API将组分配到工作区。帐户管理员或工作空间管理员都可以使用工作空间级别的工作空间分配API来执行此任务。看到工作区分配(帐户)API和工作区分配(工作区)API引用
没有为身份联合启用工作区:工作空间管理员可以使用工作空间级的SCIM (Groups) API在工作空间中创建工作空间本地组并添加成员。看到工作空间的SCIM API 2.0(组).
管理工作空间-本地组
工作空间管理员可以使用工作空间管理控制台、IdP供应连接器和REST api添加和管理工作空间本地组。
如果您的工作空间已启用联合身份验证,帐户管理员应该使用帐户控制台或其他帐户级接口添加和管理组。
使用管理控制台将工作空间-本地组添加到工作空间
工作区管理员可以使用工作区管理控制台添加和管理工作区-本地组。
您可以使用工作区管理控制台执行以下操作:
添加和删除工作区-本地组。
授予和撤销工作区-本地组中的成员资格,包括
管理员
组。管理团队的权利如下:
授予和撤销对Data Science & Engineering工作区和Databricks SQL权限的访问权。
授予和撤销创建集群的能力(如果集群访问控制已为工作区启用)。
要使用管理控制台将工作空间-本地组添加到工作空间,请执行以下操作:
作为一个工作空间管理员,登录到Databricks工作空间。
在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台.
在组选项卡上,单击添加组.
输入组名,单击确认.
组名不能重复。不能修改组名。如果要更改组名,必须先删除该组,然后使用新名称重新创建。
使用管理控制台将用户、服务主体和组添加到工作空间-本地组
请注意
属性中不能添加子组管理员
组。
作为一个工作空间管理员,登录到Databricks工作空间。
在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台.
在组选项卡,选择要更新的组。
在成员选项卡上,单击添加用户、组或服务主体.
在对话框中,浏览或搜索要添加的用户、服务主体和组并选择它们。
点击确认.
您可能需要单击选择器中的向下箭头来隐藏下拉列表并显示确认按钮。
从工作空间-本地组中删除用户、组或服务主体
作为一个工作空间管理员,登录到Databricks工作空间。
在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台.
选择要更新的组。
在成员选项卡,找到要删除的用户、组或服务主体,然后单击X在行动列。
点击删除成员来确认。
用户、组或服务主体将失去由于该组的成员资格而授予的所有子组成员资格、权利和实例概要。但是,身份可以通过其他组的成员资格或用户级别的授权来保留这些权利。
请注意
控件,还可以从父工作区-本地组中删除子工作区-本地组父母TAB中显示要删除的组。找到要从中删除子工作空间-本地组的父组,并单击X在行动列。
分配给父组的所有授权和实例概要文件都将从该组的成员中删除。但是,他们可以凭借其他组的成员资格或用户级别的授权来保留这些权利和实例概要。
管理组的工作空间权限
授权是允许用户、服务主体或组以指定的方式与Databricks交互的属性。授权被分配给工作空间级别的用户。下表列出了用于管理每个授权的工作区UI和API属性名。您可以使用工作区管理控制台和工作区级别SCIM REST接口权限管理。
授权名称(UI) |
授权名称(API) |
默认的 |
描述 |
---|---|---|---|
工作空间的访问 |
|
默认允许。 |
当授予用户或服务主体时,他们可以访问数据科学与工程和Databricks机器学习基于人物的环境。 不能从工作空间管理员中删除。 |
Databricks SQL访问 |
|
默认允许。 |
当授予用户或服务主体时,它们可以访问Databricks SQL。 |
允许无限制地创建集群 |
|
默认情况下不授予用户或服务主体。 |
当授予用户或服务主体时,它们可以创建集群。可以使用。限制对现有集群的访问集群级别的权限. 不能从工作空间管理员中删除。 |
允许创建池(不能通过UI) |
|
不能授予单个用户或服务主体。 |
当授予一个组时,其成员可以创建实例池。 不能从工作空间管理员中删除。 |
您可以在工作空间级别管理组权限,而不管组是在帐户中创建的,还是在工作空间本地创建的。