Condividi tramite


Elenchi di controllo di accesso

Questo articolo descrive in dettaglio le autorizzazioni disponibili per i diversi oggetti dell'area di lavoro.

Nota

Il controllo di accesso richiede un piano Premium.

Le impostazioni di controllo di accesso sono disabilitate per impostazione predefinita nelle aree di lavoro aggiornate dal piano Standard al piano Premium. Una volta abilitata un'impostazione di controllo di accesso, non può essere disabilitata. Per maggiori informazioni, si veda Gli elenchi dei controlli di accesso possono essere abilitati nelle aree di lavoro aggiornate.

Panoramica degli elenchi di controllo di accesso

In Azure Databricks è possibile usare elenchi di controllo di accesso (ACL) per configurare l'autorizzazione per accedere agli oggetti a livello di area di lavoro. Gli amministratori dell'area di lavoro hanno l'autorizzazione CAN MANAGE per tutti gli oggetti nell'area di lavoro, che consente di gestire le autorizzazioni per tutti gli oggetti nelle aree di lavoro. Gli utenti dispongono automaticamente dell'autorizzazione CAN MANAGE per gli oggetti creati.

Per un esempio di come eseguire il mapping di utenti tipici alle autorizzazioni a livello di area di lavoro, si veda Proposta di introduzione ai gruppi e alle autorizzazioni di Databricks.

Gestire gli elenchi di controllo di accesso con le cartelle

È possibile gestire le autorizzazioni per gli oggetti dell'area di lavoro aggiungendo oggetti alle cartelle. Gli oggetti in una cartella ereditano tutte le impostazioni delle autorizzazioni della cartella. Ad esempio, un utente che ha l'autorizzazione CAN RUN su una cartella ha l'autorizzazione CAN RUN sugli avvisi in quella cartella.

Se si concede a un utente l'accesso a un oggetto all'interno della cartella, può visualizzare il nome della cartella padre, anche se non dispone delle autorizzazioni per la cartella padre. Ad esempio, un notebook denominato test1.py si trova in una cartella denominata Workflows. Se si concede a un utente CAN READ on test1.py e non si dispone di autorizzazioni per Workflows, l'utente può vedere che la cartella padre è denominata Workflows. L'utente non può visualizzare o accedere ad altri oggetti nella cartella Workflows, a meno che non disponga delle autorizzazioni per tali oggetti.

Per informazioni sull'organizzazione degli oggetti in cartelle, si veda Visualizzatore area di lavoro.

ACL della dashboard di IA/BI.

Capacità NESSUNA AUTORIZZAZIONE PUÒ VEDERE / PUÒ ESEGUIRE PUÒ MODIFICARE PUÒ GESTIRE
Visualizzare dashboard e risultati x x x
Interagire con i widget x x x
Aggiornare il dashboard x x x
Modificare il dashboard x x
Clonare una dashboard x x x
Pubblicare lo snapshot della dashboard x x
Modifica autorizzazioni x
Eliminare le dashboard x

ACL per gli avvisi

Capacità NESSUNA AUTORIZZAZIONE PUÒ ESEGUIRE PUÒ GESTIRE
Vedere nell'elenco degli avvisi x x
Visualizzare un avviso e un risultato x x
Attivare manualmente l'esecuzione del ciclo di allerta x x
Sottoscrivere le notifiche x x
Modificare l'avviso x
Modifica autorizzazioni x
Eliminare un avviso x

ACL di calcolo

Importante

Gli utenti con autorizzazioni CAN ATTACH TO possono visualizzare le chiavi dell'account del servizio nel file log4j. Prestare attenzione quando si concede questo livello di autorizzazione.

Capacità NESSUNA AUTORIZZAZIONE PUÒ COLLEGARE A PUÒ RIAVVIARE PUÒ GESTIRE
Collegare un notebook a risorse di calcolo x x x
Visualizza Spark UI x x x
Visualizzare metriche di calcolo x x x
Terminare il calcolo x x
Avviare e riavviare un ambiente di calcolo x x
Visualizzare i registri del driver x (vedere la nota)
Modificare un ambiente di calcolo x
Collegare la libreria a un ambiente di calcolo x
Ridimensionare un ambiente di calcolo x
Modifica permessi x

Nota

I segreti non vengono omessi dal log del driver Spark di un cluster e dai flussi. Per proteggere i dati sensibili, per impostazione predefinita, i log dei driver Spark sono visualizzabili solo dagli utenti con l'autorizzazione CAN MANAGE per il processo, la modalità di accesso dedicata e i cluster in modalità di accesso standard. Per consentire agli utenti con l'autorizzazione CAN ATTACH TO o CAN RESTART per visualizzare i log in questi cluster, impostare la proprietà di configurazione Spark seguente nella configurazione del cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.

Nei cluster in modalità di accesso condiviso senza isolamento i log del driver Spark possono essere visualizzati dagli utenti con l'autorizzazione CAN ATTACH TO o CAN MANAGE. Per limitare gli utenti che possono leggere i log solo agli utenti con l'autorizzazione CAN MANAGE, impostare spark.databricks.acl.needAdminPermissionToViewLogs su true.

Vedere Configurazione Spark per avere informazioni su come aggiungere proprietà Spark a una configurazione del cluster.

ACL della dashboard legacy

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE PUÒ CORRERE PUÒ MODIFICARE PUÒ GESTIRE
Visualizzare nell'elenco dei pannelli x x x x
Visualizzare dashboard e risultati x x x x
Aggiornare i risultati della query nel dashboard (o scegliere parametri diversi) x x x
Modificare il dashboard x x
Modifica autorizzazioni x
Eliminare le dashboard x

La modifica di una dashboard legacy richiede l'impostazione di condivisione Esegui come visualizzatore. Consultare il comportamento di aggiornamento e il contesto di esecuzione.

ACL della pipeline DLT

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE PUÒ ESEGUIRE PUÒ GESTIRE È PROPRIETARIO
Visualizzare i dettagli della pipeline e elencare la pipeline x x x x
Visualizzare l'interfaccia utente di Spark e i log dei driver x x x x
Avviare e interrompere l'aggiornamento di una pipeline x x x
Interrompere direttamente i cluster di pipeline x x x
Modificare le impostazioni della pipeline x x
Eliminare la pipeline x x
Rimuovere definitivamente esecuzioni ed esperimenti x x
Modifica permessi x x

ACL delle tabelle delle funzionalità di

Questa tabella descrive come controllare l'accesso alle tabelle delle funzionalità nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per il Catalogo Unity, usa privilegi del Catalogo Unity.

Nota

Capacità PUOI VISUALIZZARE I METADATI PUÒ MODIFICARE I METADATI PUÒ GESTIRE
Leggere la tabella delle funzionalità X X X
Tabella delle funzionalità di ricerca X X X
Pubblicare la tabella delle caratteristiche nel negozio online X X X
Scrivere funzionalità nella tabella delle funzionalità X X
Aggiornare la descrizione della tabella delle funzionalità X X
Modifica autorizzazioni X
Eliminare la tabella delle funzionalità X

ACL di file

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ CORRERE PUÒ MODIFICARE PUÒ GESTIRE
Leggere un file x x x x
Commento x x x x
Allegare e scollegare un file x x x
Eseguire il file in modo interattivo x x x
Modifica file x x
Modifica autorizzazioni x

ACL delle cartelle

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ MODIFICARE PUÒ CORRERE PUÒ GESTIRE
Elencare gli oggetti nella cartella x x x x x
Visualizzare gli oggetti nella cartella x x x x
Clonare ed esportare elementi x x x
Eseguire oggetti nella cartella x x
Creare, importare ed eliminare elementi x
Spostare e rinominare elementi x
Modifica permessi x

ACL dello spazio di Genie

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE / PUÒ ESEGUIRE PUÒ MODIFICARE PUÒ GESTIRE
Visualizza nella lista degli spazi di Genie x x x x
Fare domande a Genie x x x
Fornire feedback sulla risposta x x x
Aggiungere o modificare istruzioni per Genie x x
Aggiungere o modificare domande di esempio x x
Aggiungere o rimuovere tabelle incluse x x
Monitorare uno spazio x
Modifica autorizzazioni x
Eliminare uno spazio x
Visualizzare le conversazioni di altri utenti x x

ACL per le cartelle Git

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ CORRERE PUÒ MODIFICARE PUÒ GESTIRE
Elencare gli asset in una cartella x x x x x
Visualizzare le risorse in una cartella x x x x
Clonare ed esportare risorse x x x x
Eseguire le risorse eseguibili in una cartella x x x
Modificare e rinominare le risorse in una cartella x x
Creare un ramo in una cartella x
Cambiare rami in una cartella x
Eseguire il pull o il push di un ramo in una cartella x
Creare, importare, eliminare e spostare risorse x
Modifica permessi x

ACL dei lavori

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE PUÒ GESTIRE L’ESECUZIONE È PROPRIETARIO PUÒ GESTIRE
Visualizza dettagli e impostazioni del lavoro x x x x
Visualizza risultati x x x x
Visualizzare l'interfaccia utente di Apache Spark e i log di un'attività x x x
Esegui ora x x x
Annulla esecuzione x x x
Modifica impostazioni del lavoro x x
Eliminare un'attività x x
Modificare autorizzazioni x x

ACL per esperimenti MLflow

Gli ACL dell'esperimento MLflow sono diversi per gli esperimenti di notebook e gli esperimenti dell'area di lavoro. Gli esperimenti del notebook non possono essere gestiti indipendentemente dal notebook che li ha creati, quindi hanno gli stessi permessi del notebook. Per saperne di più sui due tipi di esperimenti, consulta Organizzare le esecuzioni di allenamento con esperimenti MLflow.

Elenchi di controllo di accesso per gli esperimenti di notebook

La modifica di queste autorizzazioni modifica anche le autorizzazioni nel notebook corrispondente all'esperimento.

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ CORRERE PUÒ MODIFICARE PUÒ GESTIRE
Visualizzare il notebook x x x x
Commento nel notebook x x x x
Collegare/scollegare un notebook per il calcolo x x x
Eseguire comandi nel notebook x x x
Modificare il notebook x x
Modifica permessi x

Elenchi di controllo di accesso per gli esperimenti dell'area di lavoro

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ MODIFICARE PUÒ GESTIRE
Visualizzare l'esperimento x x x
Registra le esecuzioni dell'esperimento x x
Modificare l'esperimento x x
Eliminare l'esperimento x
Modifica autorizzazioni x

ACL del modello MLflow

Questa tabella descrive come controllare l'accesso ai modelli registrati nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per il Catalogo Unity, usa privilegi del Catalogo Unity.

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ MODIFICARE PUÒ GESTIRE LE VERSIONI DI STAGING PUÒ GESTIRE LE VERSIONI DI PRODUZIONE PUÒ GESTIRE
Visualizzare i dettagli del modello, le versioni, le richieste di transizione di fase, le attività e gli URI di download degli artefatti x x x x x
Richiedere una transizione della fase di versione del modello x x x x x
Aggiungere una versione a un modello x x x x
Aggiornare il modello e la descrizione della versione x x x x
Aggiungere o modificare tag x x x x
Eseguire la transizione della versione del modello tra fasi x x x
Approvare una richiesta di transizione x x x
Annullare una richiesta di transizione x
Rinomina Modello x
Modifica permessi x
Eliminare un modello o versioni del modello x

ACL notebook

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ ESEGUIRE PUÒ MODIFICARE PUÒ GESTIRE
Visualizza celle x x x x
Commento x x x x
Puoi eseguire utilizzando %run o i flussi di lavoro notebook. x x x x
Collegare e scollegare notebook x x x
Eseguire comandi x x x
Modifica celle x x
Modifica autorizzazioni x

ACL della pool

Capacità NESSUNA AUTORIZZAZIONE PUÒ COLLEGARE A PUÒ GESTIRE
Associare un cluster a un pool x x
Eliminare un pool x
Modificare un pool x
Modifica autorizzazioni x

ACL di query

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE PUÒ ESEGUIRE PUÒ MODIFICARE PUÒ GESTIRE
Visualizzare query personalizzate x x x x
Visualizza nell'elenco delle query x x x x
Visualizzare il testo della query x x x x
Visualizza il risultato della query x x x x
Aggiornare il risultato della query (o scegliere parametri diversi) x x x
Includere la query in un dashboard x x x
Modificare il testo della query x x
Modificare il magazzino SQL o la sorgente dati x
Modifica permessi x
Elimina query x

ACL dei segreti

Capacità READ SCRIVI GESTIRE
Leggere l'ambito segreto x x x
Elenca i segreti nell'ambito x x x
Scrivere nell'ambito del segreto x x
Modifica autorizzazioni x

ACL per endpoint di servizio

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE PUÒ INTERROGARE PUÒ GESTIRE
Ottenere l'endpoint x x x
Elencare l'endpoint x x x
Endpoint di query x x
Aggiornare la configurazione dell'endpoint x
Eliminare un endpoint x
Modifica permessi x

ACL del magazzino SQL

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE PUÒ MONITORARE PUÒ USARE È PROPRIETARIO PUÒ GESTIRE
Avvia il magazzino x x x x
Visualizzare i dettagli del warehouse x x x x x
Visualizza le query del magazzino x x x x
Esegui le query x x x x
Visualizza scheda monitoraggio magazzino x x x x
Fermare il magazzino x x
Eliminare il magazzino x x
Modificare il magazzino x x
Modifica autorizzazioni x x

Nota

L'autorizzazione CAN VIEW è in anteprima pubblica.

ACL dell'endpoint di ricerca vettoriale

Capacità NESSUNA AUTORIZZAZIONE PUÒ CREARE PUÒ USARE PUÒ GESTIRE
Ottenere l'endpoint x x x
Elencare gli endpoint x x x
Creare un endpoint x x x
Usa l'endpoint (crea indice) x x
Eliminare un endpoint x
Modifica permessi x