Dans Azure Databricks, vous pouvez utiliser des listes de contrôle d’accès (ACL) pour configurer l’autorisation d’accéder aux objets au niveau de l’espace de travail. Les administrateurs d’espace de travail ont l’autorisation PEUT GÉRER sur tous les objets de leur espace de travail, ce qui leur donne la possibilité de gérer les autorisations sur tous les objets de leur espace de travail. Les utilisateurs ont automatiquement l’autorisation PEUT GÉRER pour les objets qu’ils créent.
Gérer les listes de contrôle d’accès avec des dossiers
Vous pouvez gérer des autorisations d’objets d’espace de travail en ajoutant des objets aux dossiers. Les objets d’un dossier héritent de tous les paramètres d’autorisation de ce dossier. Par exemple, un utilisateur qui dispose de l’autorisation PEUT EXÉCUTER sur un dossier dispose de l’autorisation PEUT EXÉCUTER sur les alertes de ce dossier.
Si vous accordez à un utilisateur l’accès à un objet à l’intérieur du dossier, il peut afficher le nom du dossier parent, même s’il n’a pas d’autorisations sur le dossier parent. Par exemple, un notebook nommé test1.py se trouve dans un dossier nommé Workflows. Si vous accordez des autorisations CAN READ à un utilisateur sur test1.py et aucune autorisation sur Workflows, l’utilisateur peut voir que le dossier parent est nommé Workflows. L’utilisateur ne peut pas afficher ou accéder à d’autres objets du dossier Workflows, sauf si ces objets ont reçu des autorisations.
Pour découvrir des informations sur l’organisation des objets dans des dossiers, consultez Navigateur d’espace de travail.
ACL du tableau de bord IA/BI
Possibilité
NO PERMISSIONS
PEUT VISUALISER/PEUT EXÉCUTER
PEUT MODIFIER
PEUT GÉRER
Afficher le tableau de bord et les résultats
x
x
x
Interagir avec des widgets
x
x
x
Actualiser le tableau de bord
x
x
x
Modifier le tableau de bord
x
x
Cloner le tableau de bord
x
x
x
Publier une capture instantanée de tableau de bord
x
x
Modifier les autorisations
x
Supprimer un tableau de bord
x
ACL des alertes
Possibilité
NO PERMISSIONS
PEUT EXÉCUTER
PEUT GÉRER
Voir dans la liste d’alertes
x
x
Afficher l’alerte et le résultat
x
x
Déclencher manuellement l’exécution de l’alerte
x
x
S’abonner aux notifications
x
x
Modifiez l'alerte
x
Modifier les autorisations
x
Supprimer l'alerte
x
ACL de calcul
Important
Les utilisateurs disposant de l’autorisation de PEUT ATTACHER À peuvent afficher les clés de compte de service dans le fichier log4j. Soyez vigilant lorsque vous accordez ce niveau d’autorisation.
Les secrets ne sont pas expurgés des flux stdout et stderr du journal du pilote Spark d’un cluster. Pour protéger des données sensibles, les journaux de pilote Spark sont affichables par défaut uniquement par des utilisateurs ayant une autorisation PEUT GÉRER sur un travail, un mode d’accès utilisateur unique et des clusters en mode d’accès partagé. Pour autoriser des utilisateurs avec l’autorisation PEUT ATTACHER À ou PEUT REDÉMARRER à afficher les journaux sur ces clusters, définissez la propriété de configuration Spark suivante dans la configuration de cluster : spark.databricks.acl.needAdminPermissionToViewLogs false.
Sur des clusters en mode d’accès Aucune isolation partagée, les utilisateurs peuvent afficher des journaux de pilote Spark avec l’autorisation PEUT ATTACHER À ou PEUT GÉRER. Pour limiter les utilisateurs qui peuvent lire les journaux aux seuls utilisateurs avec l’autorisation PEUT GÉRER, définissez spark.databricks.acl.needAdminPermissionToViewLogs sur true.
Consultez Configuration Spark pour découvrir comment ajouter des propriétés Spark à une configuration de cluster.
ACL de tableaux de bord héritées
Possibilité
AUCUNE AUTORISATION
PEUT AFFICHER
PEUT EXÉCUTER
PEUT MODIFIER
PEUT GÉRER
Afficher dans la liste des tableaux de bord
x
x
x
x
Afficher le tableau de bord et les résultats
x
x
x
x
Actualiser les résultats de la requête dans le tableau de bord (ou choisir des paramètres différents)
Listes de contrôle d’accès du pipeline Delta Live Tables
Possibilité
AUCUNE AUTORISATION
PEUT AFFICHER
PEUT EXÉCUTER
PEUT GÉRER
EST PROPRIÉTAIRE
Afficher les détails du pipeline et lister les pipelines
x
x
x
x
Afficher les journaux de l’interface utilisateur et du pilote Spark
x
x
x
x
Démarrer et arrêter une mise à jour du pipeline
x
x
x
Arrêter directement les clusters du pipeline
x
x
x
Modifier les paramètres du pipeline
x
x
Supprimer le pipeline
x
x
Vider les exécutions et les expériences
x
x
Modifier les autorisations
x
x
ACL de tables de caractéristiques
Cette table décrit comment contrôler l’accès aux tables de fonctionnalités dans les espaces de travail qui ne sont pas activés pour Unity Catalog. Si votre espace de travail est activé pour Unity Catalog, utilisez plutôt les privilèges Unity Catalog.
Publier la table de caractéristiques dans le magasin en ligne
X
X
X
Écrire des caractéristiques dans la table de caractéristiques
X
X
Mettre à jour la description de la table de caractéristiques
X
X
Modifier les autorisations
X
Supprimer la table de caractéristiques
X
ACL de fichiers
Possibilité
NO PERMISSIONS
PEUT LIRE
PEUT EXÉCUTER
PEUT MODIFIER
PEUT GÉRER
Lire un fichier
x
x
x
x
Commentaire
x
x
x
x
Attacher et détacher un fichier
x
x
x
Exécuter un fichier de façon interactive
x
x
x
Modifier le fichier
x
x
Modifier les autorisations
x
ACL de dossiers
Possibilité
NO PERMISSIONS
PEUT LIRE
PEUT MODIFIER
PEUT EXÉCUTER
PEUT GÉRER
Lister les objets du dossier
x
x
x
x
x
Afficher les objets du dossier
x
x
x
x
Cloner et exporter des éléments
x
x
x
Exécuter les objets du dossier
x
x
Créer, importer et supprimer des éléments
x
Déplacer et renommer des éléments
x
Modifier les autorisations
x
Listes de contrôle d’accès d’espace Genie
Possibilité
NO PERMISSIONS
PEUT VISUALISER/PEUT EXÉCUTER
PEUT MODIFIER
PEUT GÉRER
Voir dans la liste d’espaces Genie
x
x
x
x
Poser des questions sur Genie
x
x
x
Fournir des commentaires sur la réponse
x
x
x
Ajouter ou modifier des instructions Genie
x
x
Ajouter ou modifier des exemples de questions
x
x
Ajouter ou supprimer des tables incluses
x
x
Surveiller un espace
x
Modifier les autorisations
x
Supprimer de l’espace
x
Afficher les conversations d’autres utilisateurs
x
ACL de dossiers Git
Possibilité
NO PERMISSIONS
PEUT LIRE
PEUT EXÉCUTER
PEUT MODIFIER
PEUT GÉRER
Lister les ressources dans un dossier
x
x
x
x
x
Afficher les ressources dans un dossier
x
x
x
x
Cloner et exporter des ressources
x
x
x
x
Exécuter des ressources exécutables dans le dossier
x
x
x
Modifier et renommer des ressources dans un dossier
x
x
Créer une branche dans un dossier
x
Tirer (pull) ou envoyer (push) une branche dans un dossier
x
Créer, importer, supprimer et déplacer des ressources
x
Modifier les autorisations
x
ACL de travaux
Possibilité
AUCUNE AUTORISATION
PEUT AFFICHER
PEUT GÉRER L’EXÉCUTION
EST PROPRIÉTAIRE
PEUT GÉRER
Afficher les détails et paramètres du travail
x
x
x
x
Afficher les résultats
x
x
x
x
Afficher l’interface utilisateur Spark, journaux d’une exécution de travail
x
x
x
Exécuter maintenant
x
x
x
Annuler l’exécution
x
x
x
Modifier les paramètres d’un travail
x
x
Supprimer le travail
x
x
Modifier les autorisations
x
x
Listes de contrôle d’accès d’expérience MLflow
Possibilité
NO PERMISSIONS
PEUT LIRE
PEUT MODIFIER
PEUT GÉRER
Afficher les informations sur les exécutions, rechercher et comparer les exécutions
x
x
x
Afficher, lister et télécharger des artefacts d’exécution
x
x
x
Créer, supprimer et restaurer des exécutions
x
x
Journaliser les paramètres, les métriques et les étiquettes des exécutions
x
x
Journaliser les artefacts des exécutions
x
x
Modifier les étiquettes des expériences
x
x
Vider les exécutions et les expériences
x
Modifier les autorisations
x
Listes de contrôle d’accès de modèle MLflow
Cette table décrit comment contrôler l’accès aux modèles enregistrés dans les espaces de travail qui ne sont pas activés pour Unity Catalog. Si votre espace de travail est activé pour Unity Catalog, utilisez plutôt les privilèges Unity Catalog.
Possibilité
NO PERMISSIONS
PEUT LIRE
PEUT MODIFIER
PEUT GÉRER LES VERSIONS DE PRÉPRODUCTION
PEUT GÉRER LES VERSIONS DE PRODUCTION
PEUT GÉRER
Afficher les détails du modèle, les versions, les demandes de transition de phase, les activités et les URI de téléchargement d’artefacts
x
x
x
x
x
Demander une transition de phase pour une version de modèle
x
x
x
x
x
Ajouter une version à un modèle
x
x
x
x
Mettre à jour la description d’un modèle et d’une version
x
x
x
x
Ajouter ou modifier des balises
x
x
x
x
Effectuer la transition d’une version de modèle entre des phases
x
x
x
Approuver une demande de transition
x
x
x
Annuler une demande de transition
x
Renommer un modèle
x
Modifier les autorisations
x
Supprimer un modèle et des versions de modèle
x
ACL de notebooks
Possibilité
NO PERMISSIONS
PEUT LIRE
PEUT EXÉCUTER
PEUT MODIFIER
PEUT GÉRER
Afficher les cellules
x
x
x
x
Commentaire
x
x
x
x
Exécuter via %run ou des workflows de notebook
x
x
x
x
Attacher et détacher des notebooks
x
x
x
Commandes d’exécution
x
x
x
Modifier les cellules
x
x
Modifier les autorisations
x
ACL de pools
Possibilité
AUCUNE AUTORISATION
PEUT ATTACHER À
PEUT GÉRER
Attacher un cluster à un pool
x
x
Supprimer un pool
x
Modifier un pool
x
Modifier les autorisations
x
ACL de demandes
Possibilité
AUCUNE AUTORISATION
PEUT AFFICHER
PEUT EXÉCUTER
PEUT MODIFIER
PEUT GÉRER
Afficher ses propres requêtes
x
x
x
x
Voir dans la liste des requêtes
x
x
x
x
Afficher le texte de la requête
x
x
x
x
Afficher les résultats de la requête
x
x
x
x
Actualiser le résultat de la requête (ou choisir des paramètres différents)
x
x
x
Inclure la requête dans un tableau de bord
x
x
x
Modifier le texte de la requête
x
x
Changer d’entrepôt SQL ou de source de données
x
Modifier les autorisations
x
Delete, requête
x
ACL de secrets
Possibilité
READ
ÉCRIRE
GÉRER
Lecture de l’étendue du secret
x
x
x
Répertoriage des secrets dans l’étendue
x
x
x
Écriture dans l’étendue du secret
x
x
Modifier les autorisations
x
ACL de point de terminaison de mise en service
Possibilité
AUCUNE AUTORISATION
PEUT AFFICHER
PEUT DEMANDER
PEUT GÉRER
Obtenir un point de terminaison
x
x
x
Point de terminaison de liste
x
x
x
Point de terminaison de requête
x
x
Mettre à jour la configuration du point de terminaison
x
Supprimer le point de terminaison
x
Modifier les autorisations
x
ACL d’entrepôt SQL
Possibilité
AUCUNE AUTORISATION
PEUT UTILISER
PEUT MONITORER
EST PROPRIÉTAIRE
PEUT GÉRER
Démarrer l’entrepôt
x
x
x
x
Voir les détails de l’entrepôt
x
x
x
x
Afficher les requêtes d’entrepôt
x
x
x
Exécuter des requêtes
x
x
x
x
Onglet Voir le monitoring de l’entrepôt
x
x
x
Arrêter l’entrepôt
x
x
Supprimer l’entrepôt
x
x
Modifier l’entrepôt
x
x
Modifier les autorisations
x
x
ACL du point de terminaison de recherche vectorielle