Partager via


Listes de contrôle d’accès

Cet article présente des informations sur les autorisations disponibles pour les différents objets d’espace de travail.

Remarque

Le contrôle d'accès nécessite le plan Premium.

Les paramètres de contrôle d’accès sont désactivés par défaut sur les espaces de travail mis à niveau du plan Standard vers le plan Premium. Une fois qu’un paramètre de contrôle d’accès est activé, il ne peut pas être désactivé. Pour plus d’informations, consultezles listes de contrôles d’accès peuvent être activées sur les espaces de travail mis à niveau.

Vue d’ensemble des listes de contrôle d’accès

Dans Azure Databricks, vous pouvez utiliser des listes de contrôle d’accès (ACL) pour configurer l’autorisation d’accéder aux objets au niveau de l’espace de travail. Les administrateurs d’espace de travail ont l’autorisation PEUT GÉRER sur tous les objets de leur espace de travail, ce qui leur donne la possibilité de gérer les autorisations sur tous les objets de leur espace de travail. Les utilisateurs ont automatiquement l’autorisation PEUT GÉRER pour les objets qu’ils créent.

Pour découvrir un exemple de mappage de personnages typiques avec des autorisations au niveau de l'espace de travail, consultez la Proposition de démarrage avec les groupes et les autorisations Databricks.

Gérer les listes de contrôle d’accès avec des dossiers

Vous pouvez gérer des autorisations d’objets d’espace de travail en ajoutant des objets aux dossiers. Les objets d’un dossier héritent de tous les paramètres d’autorisation de ce dossier. Par exemple, un utilisateur qui dispose de l’autorisation PEUT EXÉCUTER sur un dossier dispose de l’autorisation PEUT EXÉCUTER sur les alertes de ce dossier.

Si vous accordez à un utilisateur l’accès à un objet à l’intérieur du dossier, il peut afficher le nom du dossier parent, même s’il n’a pas d’autorisations sur le dossier parent. Par exemple, un notebook nommé test1.py se trouve dans un dossier nommé Workflows. Si vous accordez des autorisations CAN READ à un utilisateur sur test1.py et aucune autorisation sur Workflows, l’utilisateur peut voir que le dossier parent est nommé Workflows. L’utilisateur ne peut pas afficher ou accéder à d’autres objets du dossier Workflows, sauf si ces objets ont reçu des autorisations.

Pour découvrir des informations sur l’organisation des objets dans des dossiers, consultez Navigateur d’espace de travail.

ACL du tableau de bord IA/BI

Possibilité NO PERMISSIONS PEUT VISUALISER/PEUT EXÉCUTER PEUT MODIFIER PEUT GÉRER
Afficher le tableau de bord et les résultats x x x
Interagir avec des widgets x x x
Actualiser le tableau de bord x x x
Modifier le tableau de bord x x
Cloner le tableau de bord x x x
Publier une capture instantanée de tableau de bord x x
Modifier les autorisations x
Supprimer un tableau de bord x

ACL des alertes

Possibilité NO PERMISSIONS PEUT EXÉCUTER PEUT GÉRER
Voir dans la liste d’alertes x x
Afficher l’alerte et le résultat x x
Déclencher manuellement l’exécution de l’alerte x x
S’abonner aux notifications x x
Modifiez l'alerte x
Modifier les autorisations x
Supprimer l'alerte x

ACL de calcul

Important

Les utilisateurs disposant de l’autorisation de PEUT ATTACHER À peuvent afficher les clés de compte de service dans le fichier log4j. Soyez vigilant lorsque vous accordez ce niveau d’autorisation.

Possibilité AUCUNE AUTORISATION PEUT ATTACHER À PEUT REDÉMARRER PEUT GÉRER
Attacher le notebook au calcul x x x
Afficher l’interface utilisateur Spark x x x
Afficher les métriques de calcul x x x
Terminer le calcul x x
Démarrez et redémarrez le calcul x x
Activer les journaux d’activités des pilotes x (voir la remarque)
Modifier le calcul x
Attacher la bibliothèque au calcul x
Redimensionner le calcul x
Modifier les autorisations x

Remarque

Les secrets ne sont pas expurgés des flux stdout et stderr du journal du pilote Spark d’un cluster. Pour protéger des données sensibles, les journaux de pilote Spark sont affichables par défaut uniquement par des utilisateurs ayant une autorisation PEUT GÉRER sur un travail, un mode d’accès utilisateur unique et des clusters en mode d’accès partagé. Pour autoriser des utilisateurs avec l’autorisation PEUT ATTACHER À ou PEUT REDÉMARRER à afficher les journaux sur ces clusters, définissez la propriété de configuration Spark suivante dans la configuration de cluster : spark.databricks.acl.needAdminPermissionToViewLogs false.

Sur des clusters en mode d’accès Aucune isolation partagée, les utilisateurs peuvent afficher des journaux de pilote Spark avec l’autorisation PEUT ATTACHER À ou PEUT GÉRER. Pour limiter les utilisateurs qui peuvent lire les journaux aux seuls utilisateurs avec l’autorisation PEUT GÉRER, définissez spark.databricks.acl.needAdminPermissionToViewLogs sur true.

Consultez Configuration Spark pour découvrir comment ajouter des propriétés Spark à une configuration de cluster.

ACL de tableaux de bord héritées

Possibilité AUCUNE AUTORISATION PEUT AFFICHER PEUT EXÉCUTER PEUT MODIFIER PEUT GÉRER
Afficher dans la liste des tableaux de bord x x x x
Afficher le tableau de bord et les résultats x x x x
Actualiser les résultats de la requête dans le tableau de bord (ou choisir des paramètres différents) x x x
Modifier le tableau de bord x x
Modifier les autorisations x
Supprimer un tableau de bord x

La modification d’un tableau de bord hérité nécessite le paramètre de partage Exécuter en tant que lecteur. Consultez Comportement d’actualisation et contexte d’exécution.

Listes de contrôle d’accès du pipeline Delta Live Tables

Possibilité AUCUNE AUTORISATION PEUT AFFICHER PEUT EXÉCUTER PEUT GÉRER EST PROPRIÉTAIRE
Afficher les détails du pipeline et lister les pipelines x x x x
Afficher les journaux de l’interface utilisateur et du pilote Spark x x x x
Démarrer et arrêter une mise à jour du pipeline x x x
Arrêter directement les clusters du pipeline x x x
Modifier les paramètres du pipeline x x
Supprimer le pipeline x x
Vider les exécutions et les expériences x x
Modifier les autorisations x x

ACL de tables de caractéristiques

Cette table décrit comment contrôler l’accès aux tables de fonctionnalités dans les espaces de travail qui ne sont pas activés pour Unity Catalog. Si votre espace de travail est activé pour Unity Catalog, utilisez plutôt les privilèges Unity Catalog.

Remarque

Possibilité PEUT AFFICHER LES MÉTADONNÉES PEUT MODIFIER LES MÉTADONNÉES PEUT GÉRER
Lire la table de caractéristiques X X X
Rechercher dans la table de caractéristiques X X X
Publier la table de caractéristiques dans le magasin en ligne X X X
Écrire des caractéristiques dans la table de caractéristiques X X
Mettre à jour la description de la table de caractéristiques X X
Modifier les autorisations X
Supprimer la table de caractéristiques X

ACL de fichiers

Possibilité NO PERMISSIONS PEUT LIRE PEUT EXÉCUTER PEUT MODIFIER PEUT GÉRER
Lire un fichier x x x x
Commentaire x x x x
Attacher et détacher un fichier x x x
Exécuter un fichier de façon interactive x x x
Modifier le fichier x x
Modifier les autorisations x

ACL de dossiers

Possibilité NO PERMISSIONS PEUT LIRE PEUT MODIFIER PEUT EXÉCUTER PEUT GÉRER
Lister les objets du dossier x x x x x
Afficher les objets du dossier x x x x
Cloner et exporter des éléments x x x
Exécuter les objets du dossier x x
Créer, importer et supprimer des éléments x
Déplacer et renommer des éléments x
Modifier les autorisations x

Listes de contrôle d’accès d’espace Genie

Possibilité NO PERMISSIONS PEUT VISUALISER/PEUT EXÉCUTER PEUT MODIFIER PEUT GÉRER
Voir dans la liste d’espaces Genie x x x x
Poser des questions sur Genie x x x
Fournir des commentaires sur la réponse x x x
Ajouter ou modifier des instructions Genie x x
Ajouter ou modifier des exemples de questions x x
Ajouter ou supprimer des tables incluses x x
Surveiller un espace x
Modifier les autorisations x
Supprimer de l’espace x
Afficher les conversations d’autres utilisateurs x

ACL de dossiers Git

Possibilité NO PERMISSIONS PEUT LIRE PEUT EXÉCUTER PEUT MODIFIER PEUT GÉRER
Lister les ressources dans un dossier x x x x x
Afficher les ressources dans un dossier x x x x
Cloner et exporter des ressources x x x x
Exécuter des ressources exécutables dans le dossier x x x
Modifier et renommer des ressources dans un dossier x x
Créer une branche dans un dossier x
Tirer (pull) ou envoyer (push) une branche dans un dossier x
Créer, importer, supprimer et déplacer des ressources x
Modifier les autorisations x

ACL de travaux

Possibilité AUCUNE AUTORISATION PEUT AFFICHER PEUT GÉRER L’EXÉCUTION EST PROPRIÉTAIRE PEUT GÉRER
Afficher les détails et paramètres du travail x x x x
Afficher les résultats x x x x
Afficher l’interface utilisateur Spark, journaux d’une exécution de travail x x x
Exécuter maintenant x x x
Annuler l’exécution x x x
Modifier les paramètres d’un travail x x
Supprimer le travail x x
Modifier les autorisations x x

Listes de contrôle d’accès d’expérience MLflow

Possibilité NO PERMISSIONS PEUT LIRE PEUT MODIFIER PEUT GÉRER
Afficher les informations sur les exécutions, rechercher et comparer les exécutions x x x
Afficher, lister et télécharger des artefacts d’exécution x x x
Créer, supprimer et restaurer des exécutions x x
Journaliser les paramètres, les métriques et les étiquettes des exécutions x x
Journaliser les artefacts des exécutions x x
Modifier les étiquettes des expériences x x
Vider les exécutions et les expériences x
Modifier les autorisations x

Listes de contrôle d’accès de modèle MLflow

Cette table décrit comment contrôler l’accès aux modèles enregistrés dans les espaces de travail qui ne sont pas activés pour Unity Catalog. Si votre espace de travail est activé pour Unity Catalog, utilisez plutôt les privilèges Unity Catalog.

Possibilité NO PERMISSIONS PEUT LIRE PEUT MODIFIER PEUT GÉRER LES VERSIONS DE PRÉPRODUCTION PEUT GÉRER LES VERSIONS DE PRODUCTION PEUT GÉRER
Afficher les détails du modèle, les versions, les demandes de transition de phase, les activités et les URI de téléchargement d’artefacts x x x x x
Demander une transition de phase pour une version de modèle x x x x x
Ajouter une version à un modèle x x x x
Mettre à jour la description d’un modèle et d’une version x x x x
Ajouter ou modifier des balises x x x x
Effectuer la transition d’une version de modèle entre des phases x x x
Approuver une demande de transition x x x
Annuler une demande de transition x
Renommer un modèle x
Modifier les autorisations x
Supprimer un modèle et des versions de modèle x

ACL de notebooks

Possibilité NO PERMISSIONS PEUT LIRE PEUT EXÉCUTER PEUT MODIFIER PEUT GÉRER
Afficher les cellules x x x x
Commentaire x x x x
Exécuter via %run ou des workflows de notebook x x x x
Attacher et détacher des notebooks x x x
Commandes d’exécution x x x
Modifier les cellules x x
Modifier les autorisations x

ACL de pools

Possibilité AUCUNE AUTORISATION PEUT ATTACHER À PEUT GÉRER
Attacher un cluster à un pool x x
Supprimer un pool x
Modifier un pool x
Modifier les autorisations x

ACL de demandes

Possibilité AUCUNE AUTORISATION PEUT AFFICHER PEUT EXÉCUTER PEUT MODIFIER PEUT GÉRER
Afficher ses propres requêtes x x x x
Voir dans la liste des requêtes x x x x
Afficher le texte de la requête x x x x
Afficher les résultats de la requête x x x x
Actualiser le résultat de la requête (ou choisir des paramètres différents) x x x
Inclure la requête dans un tableau de bord x x x
Modifier le texte de la requête x x
Changer d’entrepôt SQL ou de source de données x
Modifier les autorisations x
Delete, requête x

ACL de secrets

Possibilité READ ÉCRIRE GÉRER
Lecture de l’étendue du secret x x x
Répertoriage des secrets dans l’étendue x x x
Écriture dans l’étendue du secret x x
Modifier les autorisations x

ACL de point de terminaison de mise en service

Possibilité AUCUNE AUTORISATION PEUT AFFICHER PEUT DEMANDER PEUT GÉRER
Obtenir un point de terminaison x x x
Point de terminaison de liste x x x
Point de terminaison de requête x x
Mettre à jour la configuration du point de terminaison x
Supprimer le point de terminaison x
Modifier les autorisations x

ACL d’entrepôt SQL

Possibilité AUCUNE AUTORISATION PEUT UTILISER PEUT MONITORER EST PROPRIÉTAIRE PEUT GÉRER
Démarrer l’entrepôt x x x x
Voir les détails de l’entrepôt x x x x
Afficher les requêtes d’entrepôt x x x
Exécuter des requêtes x x x x
Onglet Voir le monitoring de l’entrepôt x x x
Arrêter l’entrepôt x x
Supprimer l’entrepôt x x
Modifier l’entrepôt x x
Modifier les autorisations x x

ACL du point de terminaison de recherche vectorielle

Possibilité AUCUNE AUTORISATION PEUT CRÉER PEUT UTILISER PEUT GÉRER
Obtenir un point de terminaison x x x
Lister les points de terminaison x x x
Création d’un point de terminaison x x x
Utiliser le point de terminaison (créer un index) x x
Supprimer le point de terminaison x
Modifier les autorisations x