Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här sidan beskriver hur du hanterar rättigheter för användare, tjänstens huvudnamn och grupper.
Översikt över berättiganden
En rättighet är en egenskap som gör att en användare, tjänstens huvudnamn eller grupp kan interagera med Azure Databricks på ett angivet sätt. Rättigheter tilldelas till användare på arbetsytenivå. Berättiganden är endast tillgängliga i Premium-planen.
Åtkomsträttigheter
Varje åtkomstbehörighet ger en användare åtkomst till en specifik uppsättning funktioner på arbetsytan:
- Konsumentåtkomst: Ger åtkomst till en förenklad miljö för att visa instrumentpaneler, Genie Spaces och Databricks-appar som delas med dem. Se Vad är konsumentåtkomst?.
- Databricks SQL-åtkomst: Ger åtkomst till Databricks SQL-funktioner, inklusive instrumentpaneler, frågor och SQL-lager. Mer information finns i Informationslager på Azure Databricks.
- Åtkomst till arbetsyta: Ger åtkomst till kärnfunktioner för arbetsytor, till exempel notebook-filer, jobb, modeller och pipelines. Se Datateknik med Databricks och Machine learning on Azure Databricks.
Tabellen nedan visar vilka funktioner som beviljas med varje åtkomstbehörighet:
| Kapacitet | Konsumentåtkomst | Databricks SQL-åtkomst | Arbetsyteåtkomst |
|---|---|---|---|
| Läsa och köra delade instrumentpaneler, Genie Spaces och Databricks appar | ✓ | ✓ | ✓ |
| Fråga SQL-lager med hjälp av BI-verktyg | ✓ | ✓ | |
| Läsa/skriva Databricks SQL-objekt | ✓ | ||
| Läsa/skriva datavetenskaps- och teknikobjekt | ✓ |
För att få åtkomst till en Azure Databricks-arbetsyta måste en användare ha minst en åtkomstbehörighet.
Konsumentåtkomst jämfört med kontoanvändare
I den föregående tabellen sammanfattas åtkomsträttigheter på en arbetsyta. I följande tabell jämförs de funktioner som är tillgängliga för arbetsyteanvändare med konsumentåtkomst till kontoanvändare som inte har medlemskap i arbetsytan.
| Kapacitet | Konsumentåtkomst till en arbetsyta | Kontoanvändare utan medlemskap i arbetsytan |
|---|---|---|
| Visa instrumentpaneler med delade databehörigheter | ✓ | ✓ |
| Visa instrumentpaneler med visningsrättighetsuppgifter | ✓ | ✓ |
| Visa delade Genie Spaces- och Databricks-appar | ✓ | |
| Visa objekt med säkerhet på rad- och kolumnnivå | ✓ | ✓ |
| Få åtkomst till data för instrumentpanelen från arbetsytans säkerhetsobjekt | ✓ | |
| Åtkomst till användargränssnittet för begränsad konsumentarbetsyta | ✓ | |
| Fråga SQL-lager med hjälp av BI-verktyg | ✓ |
Beräkningsrättigheter
Behörigheterna Tillåt obegränsat klusterskapande och Tillåt skapande av pooler styr möjligheten att etablera beräkningsresurser på en arbetsyta. Arbetsyteadministratörer får dessa rättigheter som standard och de kan inte tas bort. Icke-administratörsanvändare beviljas dem inte om de inte uttryckligen tilldelas.
Tillåt obegränsad klusterskapande ger användare eller tjänstens huvudnamn behörighet att skapa obegränsade kluster.
Tillåt skapande av pooler gör det möjligt att skapa instanspooler. Det kan bara beviljas till grupper.
Den här behörigheten visas endast i användargränssnittet för administratörsinställningar om en grupp redan har den. Du kan ta bort det med hjälp av användargränssnittet för alla grupper utom gruppen
admins, där den inte kan tas bort. Om du vill tilldela den till en grupp använder du API:et. Se Hantera rättigheter med hjälp av API:et.
Standardrättigheter
Vissa rättigheter beviljas automatiskt till specifika användare och grupper:
Arbetsyteadministratörer beviljas alltid följande rättigheter och de kan inte tas bort:
- Arbetsyteåtkomst
- Tillåt att obegränsade kluster skapas
- Tillåt skapande av pool
Administratörer beviljas också Databricks SQL-åtkomst som standard, men det kan tas bort. Men eftersom administratörer behåller behörigheter för berättigandehantering kan de tilldela om dem till sig själva när som helst.
Arbetsyteanvändare beviljas åtkomst till arbetsytan och Databricks SQL-åtkomst som standard via sitt medlemskap i
usersgruppen. Alla arbetsyteanvändare och tjänstens huvudnamn läggs automatiskt till i den här gruppen.Standardrättigheterna i
usersgruppen påverkar hur du tilldelar eller begränsar rättigheter. För att tillhandahålla användaråtkomst kan du tilldela rättigheter individuellt till specifika användare, tjänsthuvudnamn eller grupper i stället för att förlita sig på de standardrättigheter som beviljas viausersgruppen. När du har migrerat en arbetsyta till det nya beteendet för systemgrupper väljer du vilka behörigheter varje identitet får när du lägger till den. Nya huvudkonton ärver inte berättiganden frånusersgruppen. Se Migrering av behörighetskontroll för arbetsyta.
Note
Från och med den 15 juni 2026 distribuerar Databricks ett nytt beteende där arbetsyterättigheter uttryckligen beviljas när huvudkonton läggs till i en arbetsyta, och arbetsytesystemgrupper (users och admins) inte längre har tilldelningsbara rättigheter. Gruppen users har inga rättigheter och gruppen admins har alla behörigheter för arbetsytan. Båda gruppernas rättigheter är låsta. Befintliga rättigheter på users migreras automatiskt till en arbetsytelokal klongrupp så att huvudnamnen behåller sin åtkomst. Det nya beteendet aktiveras automatiskt den 27 juli 2026 för arbetsytor som inte har valt in eller ut och tillämpas för alla arbetsytor den 14 september 2026. Mer information finns i Kommande beteendeändring: Välj berättiganden när du lägger till huvudkonton i arbetsytor.
Hantera rättigheter via administratörsinställningssidan för arbetsytan
Arbetsyteadministratörer kan hantera rättigheter för användare, tjänstens huvudnamn och grupper med hjälp av sidan administratörsinställningar för arbetsytan.
- Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.
- Klicka på ditt användarnamn i det övre fältet och välj Inställningar.
- Klicka på fliken Identitet och åtkomst .
- Beroende på vad du vill hantera klickar du på Hantera bredvid Användare, Tjänstens huvudnamn eller Grupper.
- Välj den användare, tjänsthuvudnamn eller grupp som du vill uppdatera.
- Om du vill bevilja en rättighet väljer du växlingsknappen bredvid berättigandet.
Om du vill ta bort en rättighet avmarkerar du växlingsknappen.
Om en rättighet ärvs från en grupp visas växlingsknappen markerad men är nedtonad. Ta bort en ärvd rättighet genom att antingen:
- Ta bort användaren eller tjänstens huvudnamn från den grupp som har behörigheten, eller
- Ta bort berättigandet från själva gruppen.
Om du tar bort en gruppbehörighet påverkas alla medlemmar i gruppen om de inte beviljas behörigheten individuellt eller via en annan grupp.
Hantera rättigheter med hjälp av API:et
Du kan hantera rättigheter för användare, tjänstens huvudnamn och grupper med hjälp av följande API:er:
Tabellen nedan visar varje berättigande och dess motsvarande API-namn:
| Rätt till namn | API-namn för behörighet |
|---|---|
| Konsumentåtkomst | workspace-consume |
| Arbetsyteåtkomst | workspace-access |
| Databricks SQL-åtkomst | databricks-sql-access |
| Tillåt att obegränsade kluster skapas | allow-cluster-create |
| Tillåt skapande av pool | allow-instance-pool-create |
Om du till exempel vill tilldela rättigheten allow-instance-pool-create till en grupp med hjälp av API:et:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}