管理群組

  • 發行項

本文說明管理員如何建立和管理 Azure Databricks 群組。 如需 Azure Databricks 身分識別模型的概觀,請參閱 Azure Databricks 身分識別

若要管理群組的存取權,請參閱驗證和存取控制

群組管理概觀

群組可讓您更輕鬆地指派工作區、資料和其他安全物件的存取權,藉以簡化身分識別管理。 所有 Databricks 身分識別都可以指派為群組的成員。

帳戶群組與工作區本機群組的區別

Azure Databricks 有帳戶群組和舊版工作區本機群組的概念:

  • 可以授與帳戶群組 Unity 目錄中繼存放區中的資料的存取權、服務主體和群組上的角色,以及識別身分同盟工作區的權限。
  • 工作區本機群組是舊版群組。 這些群組在工作區管理員設定頁面中標識為 [工作區本機]。 工作區本機群組無法指派給其他工作區,也不能授與 Unity 目錄中繼存放區中的資料存取權。 工作區本機群組不能授與帳戶層級的角色。 如需工作區本機群組的詳細資訊,請參閱管理工作區本機群組 (舊版)

每個工作區中有兩個系統群組:usersadmins。 所有工作區使用者都是 users 群組的成員,而所有工作區管理員都是 admins 群組的成員。 系統群組是工作區本機群組。 系統群組無法刪除。

Databricks 建議將現有的工作區本機群組轉換成帳戶群組,以透過 Unity 目錄來利用集中式工作區指派和資料存取管理。 請參閱將工作區本機群組移轉到帳戶群組

注意

具有 Azure 中工作區資源 Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action 權限的內建參與者、擁有者或自訂角色的使用者,會被自動指派到工作區 admins 群組。 如需詳細資訊,請參閱管理訂用帳戶

誰可以管理帳戶群組?

若要在 Azure Databricks 中建立帳戶群組,您必須是帳戶管理員或工作區管理員。工作區管理員必須位於識別身分同盟工作區中,才能建立帳戶群組。

若要管理 Azure Databricks 中的帳戶群組,您必須在群組上擁有群組管理員角色 (公開預覽)。 群組管理員可以管理群組成員資格並刪除群組。 他們也可以為其他使用者指派群組管理員角色。 帳戶管理員可以使用帳戶主控台管理群組角色,而工作區管理員可以使用工作區管理員設定頁面來管理群組角色。 非工作區管理員的群組管理員可以使用帳戶存取控制 API 來管理群組角色。

帳戶管理員具有帳戶層級的群組管理員角色,這表示他們在帳戶中的所有群組上都有群組管理員角色。 工作區管理員在他們建立的帳戶群組上具有群組管理員角色。

工作區管理員還會建立和管理工作區本機群組

將群組從 Microsoft Entra ID 租用戶同步至 Azure Databricks 帳戶

您可以使用 SCIM 佈建連接器,將群組從 Microsoft Entra ID 租用戶同步至 Azure Databricks 帳戶。 如需指示,請參閱使用 Microsoft Entra ID 將身分識別佈建至 Azure Databricks 帳戶

重要

如果您有將身分識別直接同步處理至工作區的 SCIM 連接器,並且已啟用那些用於識別身分同盟的工作區,建議您在啟用帳戶層級 SCIM 連接器時停用這些 SCIM 連接器。 如果您有未使用識別身分同盟的工作區,您必須繼續使用您已針對這些工作區設定的任何 SCIM 連接器,並與帳戶層級 SCIM 連接器平行執行。

使用帳戶主控台管理帳戶群組

帳戶管理員可以使用帳戶主控台,在 Azure Databricks 帳戶中新增和管理群組。 工作區管理員和群組管理員可以使用工作區設定頁面和 Databricks API 來管理群組。 請參閱使用工作區管理員設定頁面管理帳戶群組使用 API 管理帳戶群組

使用帳戶主控台將群組新增至您的帳戶

若要使用帳戶主控台將群組新增至帳戶,請執行下列動作:

  1. 身為帳戶管理員,登入帳戶主機。
  2. 在側邊欄中,按一下 [使用者管理]
  3. 在 [群組] 索引標籤上,按一下 [新增群組]
  4. 輸入此群組的名稱。
  5. 按一下確認
  6. 出現提示時,將使用者、服務主體和群組新增至群組。

使用帳戶主控台將成員新增至群組

若要使用帳戶主控台將使用者、服務主體和群組新增至群組,請執行下列動作:

  1. 身為帳戶管理員,登入帳戶主機。
  2. 在側邊欄中,按一下 [使用者管理]
  3. 在 [群組] 索引標籤上,選取您要更新的群組。
  4. 按一下 [新增成員]
  5. 搜尋您想要新增的使用者、群組或服務主體,然後將其選定。
  6. 按一下新增

注意

從帳戶更新群組與群組在工作區中更新之間,有幾分鐘的延遲。

使用帳戶主控台管理群組的角色

重要

這項功能處於公開預覽狀態

帳戶管理員可以在帳戶主控台中授予帳戶群組角色。

  1. 身為帳戶管理員,登入帳戶主機
  2. 在側邊欄中,按一下 [使用者管理]
  3. 在 [群組] 索引標籤上,找到並按一下群組名稱。
  4. 按一下 [權限] 索引標籤。
  5. 按一下 [授與存取權]
  6. 搜尋並選取使用者、服務主體或群組,然後選擇 [群組:管理員] 角色。
  7. 按一下 [檔案] 。

變更群組名稱

帳戶管理員可以使用帳戶主控台更新帳戶群組名稱:

  1. 身為帳戶管理員,登入帳戶主機。
  2. 在側邊欄中,按一下 [使用者管理]
  3. 在 [群組] 索引標籤上,選取您要更新的群組。
  4. 按一下 [群組資訊]。
  5. 在 [名稱] 底下,更新名稱。
  6. 按一下 [檔案] 。

群組管理員無法使用帳戶主控台來變更群組的名稱。 相反,請使用帳戶群組 API。 例如:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

如需如何向帳戶群組 API 驗證的資訊,請參閱驗證對 Azure Databricks 資源的存取

使用帳戶主控台將群組指派給工作區

若要使用帳戶主控台將群組新增至工作區,必須為識別身分同盟啟用工作區。 只有帳戶群組可以指派給工作區。

  1. 身為帳戶管理員,登入帳戶主機。
  2. 在側邊欄中,按一下 [工作區]
  3. 按一下工作區的名稱。
  4. 在 [權限] 索引標籤中,按一下 [新增權限]。
  5. 搜尋並選取群組,指派權限等級 (工作區使用者管理員),然後按一下 [儲存]。

使用帳戶主控台從工作區移除群組

若要使用帳戶主控台將群組從工作區移除,您必須為識別身分同盟啟用該工作區。 只有帳戶群組是可以使用帳戶主控台從工作區移除的。

從工作區移除帳戶群組後,群組成員就無法再存取工作區,不過權限仍保留在群組上。 如果群組稍後新增回工作區,群組會重新取得其先前的權限。

  1. 身為帳戶管理員,登入帳戶主機。
  2. 在側邊欄中,按一下 [工作區]
  3. 按一下工作區的名稱。
  4. 在 [權限] 索引標籤上,找到群組。
  5. 按一下Kebab 功能表群組資料列最右邊的 Kebab 功能表,然後選取 [移除]。
  6. 在確認對話方塊中按一下 [移除]

將帳戶管理員角色指派給群組

您無法使用帳戶主控台將帳戶管理員或市集管理員角色指派給群組,但可以使用帳戶群組 API 將其指派給群組。 例如:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

如需如何向帳戶群組 API 驗證的資訊,請參閱驗證對 Azure Databricks 資源的存取

從 Azure Databricks 帳戶移除群組

帳戶管理員可以從 Azure Databricks 帳戶中移除群組。 群組管理員也可以使用帳戶群組 API 從帳戶中移除群組,請參閱使用 API 管理帳戶群組

重要

當您移除群組時,該群組中的所有使用者都會從帳戶中刪除,並失去其有權存取的任何工作區的存取權 (除非他們是另一個群組的成員,或已直接被授與帳戶或任何工作區的存取權)。 除非您希望帳戶層級群組失去帳戶中所有工作區的存取權,否則建議避免刪除帳戶層級群組。 請注意下列刪除使用者的後果:

  • 使用使用者所產生的權杖的應用程式或指令碼無法再存取 Databricks API
  • 使用者所擁有的作業失敗
  • 使用者所擁有的叢集停止
  • 使用者建立並使用「以擁有者身分執行」認證共用的查詢或儀表板,必須指派給新的擁有者,以防止共用失敗

若要使用帳戶主控台移除群組,請執行下列動作:

  1. 身為帳戶管理員,登入帳戶主機。
  2. 在側邊欄中,按一下 [使用者管理]
  3. 在 [群組] 索引標籤上,找到您要移除的群組。
  4. 在使用者資料列的最右邊,按一下 kebab 功能表Kebab 功能表,然後選取 [刪除]
  5. 在確認對話方塊中,按一下 [確認刪除]。

如果您使用帳戶主控台移除群組,您必須確定也使用已針對帳戶設定的任何 SCIM 佈建連接器或 SCIM API 應用程式移除該群組。 如果您不這麼做,SCIM 佈建便會在下次同步處理時將該群組及其成員新增回來。 請參閱從 Microsoft Entra ID 同步使用者和群組

若要使用 API 從 Azure Databricks 帳戶移除群組,請參閱將使用者和群組同步至 Azure Databricks 帳戶帳戶群組 API

使用工作區管理員設定頁面管理帳戶群組

工作區管理員可以使用工作區管理員設定頁面,在識別身分同盟工作區中建立和管理帳戶群組。

注意

從工作區更新帳戶群組與群組在工作區中更新之間,有幾分鐘的延遲。

如需如何在工作區中建立工作區本機群組的詳細資訊,請參閱管理工作區本機群組 (舊版)

使用工作區管理員設定頁面建立群組或指派群組至工作區

若要使用工作區管理員設定頁面在工作區中指派或建立帳戶群組,請執行下列動作:

  1. 身為工作區管理員,登入 Azure Databricks 工作區。

  2. 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]

  3. 按一下 [身分識別與存取] 索引標籤。

  4. 在 [群組] 旁邊,按一下 [管理]

  5. 按一下 [新增群組]

  6. 選取要指派給工作區的現有群組,或按一下 [新增] 以建立新的帳戶群組。

    注意

    如果您的工作區未啟用識別身分同盟,您就無法指派現有的帳戶群組,或在您的工作區中新增或建立帳戶群組。 您必須改用工作區本機群組,請參閱管理工作區本機群組 (舊版)

使用工作區管理員設定頁面新增成員至群組

您必須是工作區管理員,才能使用工作區管理員設定頁面,將使用者、服務主體和群組新增至帳戶群組。 您只能管理您擁有其群組管理員角色的群組之成員。

注意

您無法將子群組新增至 admins 群組。 您無法將工作區本機群組或系統群組新增為帳戶群組的成員。

非工作區管理員的群組管理員必須使用帳戶群組 API 來管理群組成員資格。

  1. 身為工作區管理員,登入 Azure Databricks 工作區。
  2. 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]
  3. 按一下 [身分識別與存取] 索引標籤。
  4. 在 [群組] 旁邊,按一下 [管理]
  5. 選取您要更新的群組。 您必須在群組上擁有群組管理員角色才能更新它。
  6. 在 [成員] 索引標籤上,按一下 [新增成員]
  7. 在對話方塊中,瀏覽或搜尋您要新增的使用者、服務主體和群組,並將其選定。
  8. 按一下確認

使用工作區管理員設定頁面管理帳戶群組上的角色

重要

這項功能處於公開預覽狀態

您可以將群組管理員角色指派給使用者、帳戶群組和服務主體。 群組管理員可以管理群組成員資格。 他們也可以將群組管理員角色指派給其他使用者。

您必須是工作區管理員,才能使用工作區管理員設定頁面來管理群組角色。 非工作區管理員的群組管理員可以使用帳戶存取控制 API 來管理群組角色。

  1. 身為工作區管理員,登入 Azure Databricks 工作區。

  2. 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]

  3. 按一下 [身分識別與存取] 索引標籤。

  4. 在 [群組] 旁邊,按一下 [管理]

  5. 選取您要更新的群組。 您必須在群組上擁有群組管理員角色才能更新它。

  6. 按一下 [權限] 索引標籤。

  7. 按一下 [授與存取權]

  8. 搜尋並選取使用者、服務主體或群組,然後選擇 [群組:管理員] 角色。

    注意

    您無法在帳戶群組上指派工作區本機群組或系統群組角色。

  9. 按一下 [檔案] 。

檢視父群組

  1. 身為工作區管理員,登入 Azure Databricks 工作區。
  2. 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]
  3. 按一下 [身分識別與存取] 索引標籤。
  4. 在 [群組] 旁邊,按一下 [管理]
  5. 選取您想要監視的群組。
  6. 在 [父群組] 索引標籤上,檢視群組的父群組。

使用工作區管理員設定頁面從工作區移除群組

從工作區移除群組並不會在帳戶中刪除群組。 從工作區移除群組後,群組成員就無法再存取工作區,不過權限仍保留在群組上。 如果群組稍後新增回工作區,該群組會重新取得其先前的權限。

  1. 身為工作區管理員,登入 Azure Databricks 工作區。
  2. 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]
  3. 按一下 [身分識別與存取] 索引標籤。
  4. 在 [群組] 旁邊,按一下 [管理]
  5. 選取全組,然後按一下 [x 刪除]
  6. 按一下 [刪除] 以確認。

使用 API 管理帳戶群組

帳戶管理員和工作區管理員及群組管理員可以使用帳戶群組 API,在 Azure Databricks 帳戶中新增、刪除和管理群組。 帳戶管理員和工作區管理員及群組管理員必須使用不同的端點 URL 叫用 API:

  • 帳戶管理員使用 {account-domain}/api/2.1/accounts/{account_id}/scim/v2/
  • 工作區管理員與群組管理員使用 {workspace-domain}/api/2.0/account/scim/v2/

如需詳細資訊,請參閱帳戶群組 API

使用 API 將群組指派給工作區

帳戶和工作區管理員可以使用工作區指派 API,將群組指派給已啟用識別身分同盟的工作區。 透過 Azure Databricks 帳戶和工作區,支援工作區指派 API。

  • 帳戶管理員使用 {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
  • 工作區管理員使用 {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}

請參閱工作區指派 API

使用 API 管理群組角色

重要

這項功能處於公開預覽狀態

群組管理員可以使用帳戶存取控制 API 來管理群組角色。 帳戶管理員和工作區管理員及群組管理員必須使用不同的端點 URL 叫用 API:

  • 帳戶管理員使用 {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles
  • 工作區管理員與群組管理員使用 {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles

請參閱帳戶存取控制 API帳戶存取控制工作區 Proxy API