In diesem Artikel werden Details zu den Berechtigungen beschrieben, die für die verschiedenen Arbeitsbereichsobjekte verfügbar sind.
Hinweis
Für die Zugriffssteuerung ist der Premium-Plan erforderlich.
Zugriffssteuerungseinstellungen sind standardmäßig für Arbeitsbereiche deaktiviert, die vom Standardplan auf den Premium-Plan aktualisiert werden. Sobald eine Zugriffssteuerungseinstellung aktiviert ist, kann sie nicht deaktiviert werden. Weitere Informationen finden Sie unter Zugriffssteuerungslisten, die für aktualisierte Arbeitsbereicheaktiviert werden können.
Übersicht über Zugriffssteuerungslisten
In Azure Databricks können Sie Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um die Berechtigung für den Zugriff auf Objekte auf der Arbeitsbereichsebene zu konfigurieren. Arbeitsbereichsadministratoren verfügen über die Verwaltungsberechtigung für alle Objekte in ihrem Arbeitsbereich und können somit Berechtigungen für alle Objekte in ihren Arbeitsbereichen verwalten. Benutzer verfügen für von ihnen erstellte Objekte automatisch über die Verwaltungsberechtigung.
Verwalten von Zugriffssteuerungslisten mit Ordnern
Sie können Arbeitsbereichsobjektberechtigungen verwalten, indem Sie Objekte Ordnern hinzufügen. Objekte in einem Ordner erbt alle Berechtigungseinstellungen dieses Ordners. So verfügen beispielsweise Benutzer mit Ausführungsberechtigung für einen Ordner auch über die Ausführungsberechtigung für die Warnungen in diesem Ordner.
Wenn Sie einem Benutzer Zugriff auf ein Objekt innerhalb des Ordners gewähren, kann er den Namen des übergeordneten Ordners anzeigen, auch wenn er nicht über Berechtigungen für den übergeordneten Ordner verfügt. Beispielsweise befindet sich ein Notebook mit dem Namen test1.py in einem Ordner mit dem Namen Workflows. Wenn Sie einem Benutzer CAN READ für test1.py erteilen und keine Berechtigungen für Workflows erteilen, kann der Benutzer sehen, dass der übergeordnete Ordner den Namen Workflows hat. Der Benutzer kann keine anderen Objekte im Ordner Workflows anzeigen oder darauf zugreifen, es sei denn, ihm wurden Berechtigungen erteilt.
Informationen zur Strukturierung von Objekten in Ordnern finden Sie unter Arbeitsbereichsbrowser.
AI/BI-Dashboard-ACLs
Qualifikationen
KEINE BERECHTIGUNGEN
KANN ANZEIGEN/KANN AUSFÜHREN
KANN BEARBEITEN
KANN VERWALTEN
Dashboard und Ergebnisse anzeigen
x
x
x
Interagieren mit Widgets
x
x
x
Aktualisieren des Dashboards
x
x
x
Bearbeiten des Dashboards
x
x
Klonen des Dashboards
x
x
x
Dashboardmomentaufnahme veröffentlichen
x
x
Berechtigungen ändern
x
Dashboard löschen
x
Zugriffssteuerungslisten für Warnungen
Qualifikationen
KEINE BERECHTIGUNGEN
KANN AUSFÜHREN
KANN VERWALTEN
In Warnungsliste anzeigen
x
x
Warnung und Ergebnis anzeigen
x
x
Warnungsausführung manuell auslösen
x
x
Abonnieren von Benachrichtigungen
x
x
Warnung bearbeiten
x
Berechtigungen ändern
x
Warnung löschen
x
Zugriffssteuerungslisten für Computeressourcen
Wichtig
Benutzer mit der Berechtigung KANN ANFÜGEN können die Dienstkontoschlüssel in der log4j-Datei anzeigen. Erteilen Sie diese Berechtigungsstufe mit Vorsicht.
Geheimnisse werden nicht aus den Spark-Treiberprotokollstreams stdout und stderr eines Clusters entfernt. Um vertrauliche Daten zu schützen, können Spark-Treiberprotokolle standardmäßig nur von Benutzern mit Berechtigung KANN VERWALTEN für Auftrag, Einzelbenutzerzugriffsmodus und Cluster des freigegebenen Zugriffsmodus angezeigt werden. Um Benutzern mit Berechtigung KANN ANFÜGEN AN oder KANN NEU STARTEN das Anzeigen der Protokolle in diesen Clustern zu ermöglichen, legen Sie die folgende Spark-Konfigurationseigenschaft in der Clusterkonfiguration fest: spark.databricks.acl.needAdminPermissionToViewLogs false.
Auf Clustern des freigegebenen Isolationsmodus können die Spark-Treiberprotokolle von Benutzern mit den Berechtigungen KANN ANFÜGEN AN oder KANN VERWALTEN angezeigt werden. Um die Benutzer, welche die Protokolle lesen können, auf Benutzer mit der Berechtigung KANN VERWALTEN zu beschränken, setzen Sie spark.databricks.acl.needAdminPermissionToViewLogs auf true.
Informationen zum Hinzufügen von Spark-Eigenschaften zu einer Clusterkonfiguration finden Sie unter Spark-Konfiguration.
Zugriffssteuerungslisten für Legacy-Dashboards
Qualifikationen
KEINE BERECHTIGUNGEN
KANN ANZEIGEN
KANN AUSFÜHREN
KANN BEARBEITEN
KANN VERWALTEN
Dashboardliste anzeigen
x
x
x
x
Dashboard und Ergebnisse anzeigen
x
x
x
x
Abfrageergebnisse im Dashboard aktualisieren (oder andere Parameter auswählen)
x
x
x
Bearbeiten des Dashboards
x
x
Berechtigungen ändern
x
Dashboard löschen
x
Für die Bearbeitung eines Legacy-Dashboards ist die Freigabeeinstellung Als Viewer ausführen erforderlich. Weitere Informationen finden Sie unter Aktualisierungsverhalten und Ausführungskontext.
Delta Live Tables pipeline ACLs
Qualifikationen
KEINE BERECHTIGUNGEN
KANN ANZEIGEN
KANN AUSFÜHREN
KANN VERWALTEN
IST BESITZER
Anzeigen von Pipelinedetails und Auflisten von Pipelines
x
x
x
x
Anzeigen der Spark-Benutzeroberfläche und der Treiberprotokolle
x
x
x
x
Starten und Beenden einer Pipelineaktualisierung
x
x
x
Direktes Beenden von Pipelineclustern
x
x
x
Bearbeiten der Pipelineeinstellungen
x
x
Löschen der Pipeline
x
x
Bereinigen von Ausführungen und Experimenten
x
x
Berechtigungen ändern
x
x
Zugriffssteuerungslisten für Featuretabellen
In dieser Tabelle wird beschrieben, wie Sie den Zugriff auf Featuretabellen in Arbeitsbereichen steuern, die für Unity Catalog nicht aktiviert sind. Wenn Ihr Arbeitsbereich für Unity Catalog aktiviert ist, verwenden Sie stattdessen Unity Catalog-Berechtigungen.
Hinweis
Die Feature Store-Zugriffssteuerung steuert nicht den Zugriff auf die zugrunde liegende Delta-Tabelle, die von der Tabellenzugriffssteuerung kontrolliert wird.
Hinzufügen oder Entfernen von eingeschlossenen Tabellen
x
x
Überwachen eines Space
x
Berechtigungen ändern
x
Löschen eines Space
x
Anzeigen der Unterhaltungen anderer Benutzer
x
Zugriffssteuerungslisten für Git-Ordner
Qualifikationen
KEINE BERECHTIGUNGEN
KANN LESEN
KANN AUSFÜHREN
KANN BEARBEITEN
KANN VERWALTEN
Auflisten von Ressourcen in einem Ordner
x
x
x
x
x
Anzeigen von Objekten in einem Ordner
x
x
x
x
Klonen und Exportieren von Ressourcen
x
x
x
x
Ausführen ausführbarer Objekte im Ordner
x
x
x
Bearbeiten und Umbenennen von Ressourcen in einem Ordner
x
x
Erstellen einer Verzweigung in einem Ordner
x
Pullen oder Pushen eines Branchs aus einem oder in einen Ordner
x
Erstellen, Importieren, Löschen und Verschieben von Ressourcen
x
Berechtigungen ändern
x
Zugriffssteuerungslisten für Aufträge
Qualifikationen
KEINE BERECHTIGUNGEN
KANN ANZEIGEN
KANN AUSFÜHRUNG VERWALTEN
IST BESITZER
KANN VERWALTEN
Auftragsdetails und -einstellungen anzeigen
x
x
x
x
Anzeigen der Ergebnisse
x
x
x
x
Spark UI, Protokolle eines ausgeführten Auftrags anzeigen
x
x
x
Jetzt ausführen
x
x
x
Abbrechen der Ausführung
x
x
x
Auftragseinstellungen bearbeiten
x
x
Auftrag löschen
x
x
Berechtigungen ändern
x
x
Zugriffssteuerungslisten für MLflow-Experimente
Qualifikationen
KEINE BERECHTIGUNGEN
KANN LESEN
KANN BEARBEITEN
KANN VERWALTEN
Anzeigen von Ausführungen von Such- und Vergleichsvorgängen in Ausführungsinformationen
x
x
x
Anzeigen, Auflisten und Herunterladen von Ausführungsartefakten
x
x
x
Erstellen, Löschen und Wiederherstellen von Ausführungen
x
x
Protokollieren von Ausführungsparametern, Metriken und Tags
x
x
Protokollieren von Ausführungsartefakten
x
x
Bearbeiten von Experimenttags
x
x
Bereinigen von Ausführungen und Experimenten
x
Berechtigungen ändern
x
Zugriffssteuerungslisten für MLFlow-Modelle
In dieser Tabelle wird beschrieben, wie Sie den Zugriff auf registrierte Modelle in Arbeitsbereichen steuern, die für Unity Catalog nicht aktiviert sind. Wenn Ihr Arbeitsbereich für Unity Catalog aktiviert ist, verwenden Sie stattdessen Unity Catalog-Berechtigungen.
Qualifikationen
KEINE BERECHTIGUNGEN
KANN LESEN
KANN BEARBEITEN
KANN STAGINGVERSIONEN VERWALTEN
KANN PRODUKTIONSVERSIONEN VERWALTEN
KANN VERWALTEN
Anzeigen von Modelldetails, Versionen, Phasenübergangsanforderungen, Aktivitäten und Artefaktdownload-URIs
x
x
x
x
x
Anfordern eines Phasenübergangs für die Modellversion
x
x
x
x
x
Hinzufügen einer Version zu einem Modell
x
x
x
x
Aktualisieren der Modell- und Versionsbeschreibung
x
x
x
x
Hinzufügen oder Bearbeiten von Tags
x
x
x
x
Ändern der Modellversion zwischen Phasen
x
x
x
Genehmigen einer Übergangsanforderung
x
x
x
Abbrechen einer Übergangsanforderung
x
Umbenennen des Modells
x
Berechtigungen ändern
x
Löschen von Modellen und Modellversionen
x
Zugriffssteuerungslisten für Notebooks
Qualifikationen
KEINE BERECHTIGUNGEN
KANN LESEN
KANN AUSFÜHREN
KANN BEARBEITEN
KANN VERWALTEN
Anzeigen von Zellen
x
x
x
x
Comment
x
x
x
x
Ausführen über „%run“ oder Notebookworkflows
x
x
x
x
Anfügen und Trennen von Notebooks
x
x
x
Ausführung von Befehlen
x
x
x
Bearbeiten von Zellen
x
x
Berechtigungen ändern
x
Zugriffssteuerungslisten für Pools
Qualifikationen
KEINE BERECHTIGUNGEN
KANN ANFÜGEN
KANN VERWALTEN
Cluster an Pool anfügen
x
x
Pool löschen
x
Bearbeiten des Pools
x
Berechtigungen ändern
x
Zugriffssteuerungslisten für Abfragen
Qualifikationen
KEINE BERECHTIGUNGEN
KANN ANZEIGEN
KANN AUSFÜHREN
KANN BEARBEITEN
KANN VERWALTEN
Eigene Abfragen anzeigen
x
x
x
x
In Abfrageliste einsehen
x
x
x
x
Abfragetext anzeigen
x
x
x
x
Abfrageergebnisse anzeigen
x
x
x
x
Abfrageergebnis aktualisieren (oder andere Parameter auswählen)
x
x
x
Die Abfrage in ein Dashboard einbeziehen
x
x
x
Abfragetext bearbeiten
x
x
SQL-Warehouse oder Datenquelle ändern
x
Berechtigungen ändern
x
Löschabfrage
x
Zugriffssteuerungslisten für Geheimnisse
Qualifikationen
READ
WRITE
VERWALTEN
Lesen des Geheimnisbereichs
x
x
x
Auflisten der Geheimnisse im Bereich
x
x
x
Schreiben in den Geheimnisbereich
x
x
Berechtigungen ändern
x
Zugriffssteuerungslisten für Bereitstellungsendpunkte