本页介绍如何管理用户、服务主体和组的权利。
权利概述
权利是允许用户、服务主体或组以指定方式与 Azure Databricks 交互的属性。 权利在工作区级别分配给用户。 权利仅在高级计划中提供。
访问权利
每个访问权利授予用户对工作区中一组特定功能的访问权限:
- 使用者访问权限:授予对简化环境的访问权限,以便查看与之共享的仪表板、Genie Spaces 和 Databricks Apps。 请参阅什么是使用者访问权限?
- Databricks SQL 访问权限:授予对 Databricks SQL 功能(包括仪表板、查询和 SQL 仓库)的访问权限。 请参阅 Azure Databricks 上的数据仓库。
- 工作区访问权限:授予对核心工作区功能(如笔记本、作业、模型和管道)的访问权限。 请参阅 Data engineering with Databricks 和 Machine learning on Azure Databricks。
下表显示了每个访问权限授予哪些功能:
| 能力 | 使用者访问 | Databricks SQL 访问权限 | 工作区访问权限 |
|---|---|---|---|
| 读取/运行共享仪表板、Genie Spaces 和 Databricks 应用 | ✓ | ✓ | ✓ |
| 使用 BI 工具查询 SQL 仓库 | ✓ | ✓ | |
| 读取/写入 Databricks SQL 对象 | ✓ | ||
| 读取/写入数据科学和工程对象 | ✓ |
若要访问 Azure Databricks 工作区,用户必须至少具有一个访问权利。
使用者访问与帐户用户
上表汇总了工作区中的访问权利。 下表比较了拥有消费者访问权限的工作区用户与没有工作区成员资格的帐户用户的功能。
| 能力 | 使用者对工作区的访问权限 | 没有工作区成员身份的帐户用户 |
|---|---|---|
| 使用共享数据权限查看仪表板 | ✓ | ✓ |
| 使用查看器凭据查看仪表板 | ✓ | ✓ |
| 查看共享的 Genie Spaces 和 Databricks 应用 | ✓ | |
| 使用行级和列级安全性查看数据对象 | ✓ | ✓ |
| 从工作区绑定的安全对象访问仪表板数据 | ✓ | |
| 访问受限使用者工作区 UI | ✓ | |
| 使用 BI 工具查询 SQL 仓库 | ✓ |
计算权利
允许不受限制的群集创建和允许池创建权利控制在工作区中预配计算资源的能力。 工作区管理员默认接收这些权利,并且无法删除这些权利。 除非明确分配,否则不会向非管理员用户授予权限。
允许不受限制的群集创建 授予用户或服务主体创建不受限制的群集的权限。
允许创建池 可创建实例池。 它只能授予组。
仅当某个组已拥有该权利时,此权利才会显示在管理员设置 UI 中。 可以使用任何组的 UI 将其删除,
admins组除外,因为无法在该组中将其删除。 若要将其分配给组,请使用 API。 请参阅 使用 API 管理权利。
默认权利
某些权利会自动授予特定用户和组:
工作区管理员 始终被授予以下权利,并且无法删除这些权利:
- 工作区访问权限
- 允许创建无限制的群集
- 允许创建池
默认情况下,管理员还被授予 Databricks SQL 访问权限 ,但可以将其删除。 但是,由于管理员保留权利管理权限,因此他们可以随时将其重新分配给自己。
默认情况下,工作区用户通过组中的成员身份授予工作区访问权限和
users。 所有工作区用户和服务主体都将自动添加到此组。组的默认
users权限会影响分配或限制权限的方式。 若要提供 使用者访问 体验,请单独为特定用户、服务主体或组分配权利,而不是依赖于通过users组授予的默认权利。 将工作区迁移到新的系统组行为模式后,您可以在添加每个主体时选择为其分配的权限。 新主体不会从users组继承权利。 请参阅 迁移工作区授权控制。
注释
从 2026 年 6 月 15 日开始,Databricks 将推出一项新行为变更:将主体添加到工作区时,会明确授予工作区权益;工作区系统组(users 和 admins)将不再具有可分配的权益。 该 users 组将没有权利,组 admins 将拥有所有工作区权利。 两个组的权限均已被锁定。
users 上的现有授权会自动迁移到工作区本地克隆组,以便主体保留其访问权限。 对于尚未选择加入或退出的工作区, 2026 年 7 月 27 日自动启用新行为,并在 2026 年 9 月 14 日对所有工作区强制实施。 有关更多信息,请参阅 即将推出的行为变更:向工作区添加主体时选择权限。
使用工作区管理设置页面管理权利
工作区管理员可以使用工作区管理员设置页管理用户、服务主体和组的权利。
- 以工作区管理员身份登录到 Azure Databricks 工作区。
- 单击顶部栏中的用户名,然后选择 “设置”。
- 单击“ 标识和访问 ”选项卡。
- 根据要管理的内容,单击“用户”、“服务主体”或“组”旁边的“管理”。
- 选择要更新的用户、服务主体或组。
- 若要授予权利,请选择权利旁边的切换开关。
若要删除权利,请取消选择该切换开关。
如果权利是从组继承的,则切换开关将显示为选中状态,但会灰显。若要移除继承的权利,请执行以下操作之一:
- 从具有权利的组中删除用户或服务主体,或者
- 从组本身中删除权利。
删除组授权会影响该组的所有成员,除非他们是单独获得授权或通过另一个组获得授权。
使用 API 管理权利
可以使用以下 API 管理用户、服务主体和组的权利:
下表列出了每个权利及其相应的 API 名称:
| 权利名称 | 权利 API 名称 |
|---|---|
| 使用者访问 | workspace-consume |
| 工作区访问权限 | workspace-access |
| Databricks SQL 访问权限 | databricks-sql-access |
| 允许创建无限制的群集 | allow-cluster-create |
| 允许创建池 | allow-instance-pool-create |
例如,若要使用 API 将 allow-instance-pool-create 权利分配给组:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}