Compartir a través de


Listas de control de acceso

En este artículo se describen los detalles sobre los permisos disponibles para los distintos objetos del área de trabajo.

Nota:

El control de acceso requiere el plan Premium.

La configuración de control de acceso está desactivada de manera predeterminada en las áreas de trabajo que pasan del plan Estándar al plan Premium. Una vez habilitada una configuración de control de acceso, no se puede desactivar. Para más información, consulte Listas de control de acceso habilitables en áreas de trabajo actualizadas.

Introducción a las listas de control de acceso

En Azure Databricks, puede usar listas de control de acceso (ACL) para configurar el permiso para acceder a objetos de nivel de área de trabajo. Los administradores de áreas de trabajo tienen el permiso PUEDE ADMINISTRAR en todos los objetos de su área de trabajo, lo que les ofrece la capacidad de administrar permisos en todos los objetos de sus áreas de trabajo. Los usuarios tienen automáticamente el permiso PUEDE ADMINISTRAR para los objetos que crean.

Para obtener un ejemplo de cómo asignar roles típicos a permisos de nivel de área de trabajo, consulte la Propuesta de introducción a grupos y permisos de Databricks.

Administrar listas de control de acceso con carpetas

Puede administrar los permisos de objetos del área de trabajo agregando objetos a carpetas. Los objetos de una carpeta heredan toda la configuración de permisos de esa carpeta. Por ejemplo, un usuario que tiene el permiso PUEDE EJECUTAR en una carpeta tiene permiso PUEDE EJECUTAR en las alertas de esa carpeta.

Si concede a un usuario acceso a un objeto dentro de la carpeta, puede ver el nombre de la carpeta primaria, aunque no tenga permisos en la carpeta primaria. Por ejemplo, un cuaderno denominado test1.py está en una carpeta denominada Workflows. Si concede a un usuario el permiso CAN READ en test1.py y no tiene permisos en Workflows, el usuario puede ver que la carpeta primaria se denomina Workflows. El usuario no puede ver ni acceder a ningún otro objeto de la carpeta Workflows a menos que se le hayan concedido permisos.

Para obtener información sobre cómo organizar objetos en carpetas, consulte Explorador del área de trabajo.

ACL del panel de IA y BI

Aptitud SIN PERMISOS PUEDE VER O EJECUTAR PUEDE EDITAR PUEDE ADMINISTRAR
Ver el panel y los resultados x x x
Interaccionar con widgets x x x
Actualizar el panel x x x
Editar panel x x
Clonar panel x x x
Publicar instantánea del panel x x
Modificar permisos x
Eliminación de un panel x

ACL de alertas

Aptitud NO PERMISSIONS CAN RUN CAN MANAGE
Ver en la lista de alertas x x
Visualizar alertas y resultados x x
Desencadenar la ejecución de alertas de forma manual x x
Suscribirse a notificaciones x x
Editar alerta x
Modificar permisos x
Eliminar alerta x

ACL de proceso

Importante

Los usuarios con permisos CAN ATTACH TO pueden ver las claves de cuenta de servicio en el archivo log4j. Tenga cuidado al conceder este nivel de permiso.

Aptitud NO PERMISSIONS CAN ATTACH TO CAN RESTART CAN MANAGE
Asociación de cuadernos al proceso x x x
Visualización de la interfaz de usuario de Spark x x x
Visualización de métricas de proceso x x x
Finalización del proceso x x
Iniciar y reiniciar el proceso x x
Visualización de los registros de controladores x (consulte la nota)
Edición del proceso x
Adjuntar la biblioteca al proceso x
Cambio de tamaño del proceso x
Modificar permisos x

Nota:

Los secretos no se censuran de los flujos stdout y stderr de registros de controladores de Spark del clúster. Para proteger los datos confidenciales, los registros de controladores de Spark solo son visibles por los usuarios con el permiso CAN MANAGE en el trabajo, el modo de acceso de usuario único y los clústeres en modo de acceso compartido. Para permitir que los usuarios con los permisos CAN ATTACH TO o CAN RESTART puedan ver los registros de estos clústeres, establezca la siguiente propiedad de configuración de Spark en la configuración del clúster: spark.databricks.acl.needAdminPermissionToViewLogs false.

En clústeres de modo de acceso compartido sin aislamiento, los usuarios pueden ver los registros de controladores de Spark con el permiso CAN ATTACH TO o CAN MANAGE. Para limitar quién puede leer los registros solo a los usuarios con el permiso CAN MANAGE, establezca spark.databricks.acl.needAdminPermissionToViewLogs en true.

Consulte configuración de Spark para obtener información sobre cómo agregar propiedades de Spark a una configuración de clúster.

ACL de panel heredadas

Aptitud NO PERMISSIONS PUEDE VER PUEDE EJECUTAR PUEDES EDITAR PUEDE ADMINISTRAR
Ver en la lista de paneles x x x x
Ver el panel y los resultados x x x x
Actualizar los resultados de la consulta en el panel (o elegir otros parámetros) x x x
Editar panel x x
Modificar permisos x
Eliminación de un panel x

La edición de un panel heredado requiere la configuración de uso compartido Ejecutar como visor. Consulte comportamiento de actualización y contexto de ejecución.

ACL de canalización de Delta Live Tables

Aptitud NO PERMISSIONS PUEDE VER PUEDE EJECUTAR PUEDE ADMINISTRAR ES PROPIETARIO
Ver los detalles de la canalización y enumerar las canalizaciones x x x x
Ver los registros de los controladores y la interfaz de usuario de Spark x x x x
Iniciar y detener la actualización de una canalización x x x
Detener los clústeres de canalizaciones directamente x x x
Editar la configuración de la canalización x x
Eliminar la canalización x x
Purga de ejecuciones y experimentos x x
Modificar permisos x x

ACL de tablas de características

En esta tabla se describe cómo controlar el acceso a las tablas de características en áreas de trabajo que no estén habilitadas para el catálogo de Unity. Si el área de trabajo está habilitada para el catálogo de Unity, use privilegios de catálogo de Unity en su lugar.

Nota:

Aptitud PUEDE VER METADATOS PUEDE EDITAR METADATOS PUEDE ADMINISTRAR
Leer la tabla de características X X X
Buscar en la tabla de características X X X
Publicar una tabla de características en un almacén en línea X X X
Escribir características en la tabla de características X X
Actualizar la descripción de la tabla de características X X
Modificar permisos X
Eliminar la tabla de características X

ACL de archivo

Aptitud NO PERMISSIONS PUEDES LEER PUEDES EJECUTAR PUEDES EDITAR PUEDE ADMINISTRAR
Leer archivo x x x x
Comentario x x x x
Adjuntar y desasociar archivo x x x
Ejecutar el archivo de forma interactiva x x x
Editar archivo x x
Modificar permisos x

ACL de carpetas

Aptitud NO PERMISSIONS CAN READ PUEDE EDITAR CAN RUN PUEDE ADMINISTRAR
Enumerar objetos en la carpeta x x x x x
Ver objetos en la carpeta x x x x
Clonar y exportar elementos x x x
Ejecutar objetos en la carpeta x x
Crear, importar y eliminar elementos x
Mover elementos y cambiarles el nombre x
Modificar permisos x

ACL de espacios de Genie

Aptitud SIN PERMISOS PUEDE VER O EJECUTAR PUEDE EDITAR PUEDES ADMINISTRAR
Consulte en la lista de espacios de Genie x x x x
Formular preguntas a Genie x x x
Proporcionar comentarios de respuesta x x x
Adición o edición de instrucciones de Genie x x
Agregar o editar preguntas de ejemplo x x
Agregar o quitar tablas incluidas x x
Supervisión de un espacio x
Modificar permisos x
Eliminar espacio x
Visualización de las conversaciones de otros usuarios x

ACL de carpetas de Git

Aptitud NO PERMISSIONS PUEDES LEER PUEDES EJECUTAR PUEDES EDITAR PUEDES ADMINISTRAR
Enumerar los recursos de una carpeta x x x x x
Ver recursos en una carpeta x x x x
Clonación y exportación de recursos x x x x
Ejecutar recursos ejecutables en la carpeta x x x
Editar y cambiar el nombre de los recursos en una carpeta x x
Crear una rama en una carpeta x
Extracción o inserción de una rama en una carpeta x
Crear, importar, eliminar y mover recursos x
Modificar permisos x

ACL de trabajo

Aptitud NO PERMISSIONS PUEDE VER PUEDE ADMINISTRAR LA EJECUCIÓN ES PROPIETARIO PUEDE ADMINISTRAR
Ver los detalles y la configuración del trabajo x x x x
Vista de resultados x x x x
Ver la interfaz de usuario de Spark y los registros de una ejecución del trabajo x x x
Ejecutar ahora x x x
Cancela la ejecución x x x
Editar la configuración del trabajo x x
Eliminación de un trabajo x x
Modificar permisos x x

ACL del experimento de MLflow

Aptitud NO PERMISSIONS CAN READ CAN EDIT CAN MANAGE
Ver ejecuciones de comparación de búsqueda de información de ejecución x x x
Visualización, enumeración y descarga de artefactos de ejecución x x x
Creación, eliminación y restauración de ejecuciones x x
Parámetros de ejecución de registros, métricas y etiquetas x x
Artefactos de ejecución de registros x x
Edición de etiquetas del experimento x x
Purga de ejecuciones y experimentos x
Modificar permisos x

ACL del modelo de MLflow

En este artículo se describe cómo controlar el acceso a modelos registrados en áreas de trabajo que no estén habilitadas para el catálogo de Unity. Si el área de trabajo está habilitada para el catálogo de Unity, use privilegios de catálogo de Unity en su lugar.

Aptitud NO PERMISSIONS CAN READ CAN EDIT CAN MANAGE STAGING VERSIONS CAN MANAGE PRODUCTION VERSIONS CAN MANAGE
Visualización de detalles del modelo, versiones, solicitudes de transición de fase, actividades y URI de descarga de artefactos x x x x x
Solicitud de una transición de fase de versión de modelo x x x x x
Adición de una versión a un modelo x x x x
Actualización del modelo y la descripción de la versión x x x x
Adición o edición de etiquetas x x x x
Transición de versión del modelo entre fases x x x
Aprobación de una solicitud de transición x x x
Cancelación de una solicitud de transición x
Cambio de nombre del modelo x
Modificar permisos x
Eliminación de versiones de modelo y modelo x

ACL de cuadernos

Aptitud NO PERMISSIONS PUEDES LEER PUEDES EJECUTAR PUEDES EDITAR PUEDE ADMINISTRAR
Visualización de celdas x x x x
Comentario x x x x
Ejecución mediante %run o flujos de trabajo de cuaderno x x x x
Asociación y desasociación de cuadernos x x x
Ejecución de comandos x x x
Edición de celdas x x
Modificar permisos x

ACL de grupo

Aptitud NO PERMISSIONS SE PUEDE ASOCIAR A PUEDE ADMINISTRAR
Asociar un clúster a un grupo x x
Eliminar un grupo x
Editar un grupo x
Modificar permisos x

ACL de consulta

Aptitud NO PERMISSIONS PUEDE VER PUEDE EJECUTAR PUEDES EDITAR PUEDE ADMINISTRAR
Ver sus propias consultas x x x x
Ver en la lista de consultas x x x x
Ver el texto de la consulta x x x x
Ver el resultado de la consulta x x x x
Actualizar el resultado de la consulta (o elegir parámetros diferentes) x x x
Incluir la consulta en un panel x x x
Editar el texto de la consulta x x
Cambio del almacén de SQL o el origen de datos x
Modificar permisos x
consulta de eliminación x

ACL secretas

Aptitud READ ESCRIBIR ADMINISTRAR
Leer el ámbito del secreto x x x
Enumerar secretos en el ámbito x x x
Escribir en el ámbito del secreto x x
Modificar permisos x

Servicio de ACL de punto de conexión

Aptitud NO PERMISSIONS CAN VIEW CAN QUERY CAN MANAGE
Obtención del punto de conexión x x x
Enumerar punto de conexión x x x
Punto de conexión de consulta x x
Actualización de la configuración del punto de conexión x
Eliminación de un punto de conexión x
Modificar permisos x

ACL de SQL Warehouse

Aptitud SIN PERMISOS PUEDE USAR CAN MONITOR ES PROPIETARIO PUEDE ADMINISTRAR
Iniciar el almacén x x x x
Ver los detalles del almacén x x x x
Ver consultas del almacenamiento x x x
Ejecutar consultas x x x x
Pestaña de visualización de la supervisión del almacenamiento x x x
Detener el almacén x x
Eliminar el almacén x x
Editar el almacén x x
Modificar permisos x x

ACL del punto de conexión de búsqueda vectorial

Aptitud NO PERMISSIONS PUEDE CREAR CAN USE CAN MANAGE
Obtención del punto de conexión x x x
Enumerar puntos de conexión x x x
Creación de un punto de conexión x x x
Uso del punto de conexión (crear índice) x x
Eliminación de un punto de conexión x
Modificar permisos x