Elenchi di controllo di accesso
Questo articolo descrive in dettaglio le autorizzazioni disponibili per i diversi oggetti dell'area di lavoro.
Nota
Il controllo di accesso richiede un piano Premium.
Le impostazioni di controllo di accesso sono disabilitate per impostazione predefinita nelle aree di lavoro aggiornate dal piano Standard al piano Premium. Una volta abilitata un'impostazione di controllo di accesso, non può essere disabilitata. Per maggiori informazioni, si veda Gli elenchi dei controlli di accesso possono essere abilitati nelle aree di lavoro aggiornate.
Panoramica degli elenchi di controllo di accesso
In Azure Databricks è possibile usare elenchi di controllo di accesso (ACL) per configurare l'autorizzazione per accedere agli oggetti a livello di area di lavoro. Gli amministratori dell'area di lavoro hanno l'autorizzazione CAN MANAGE per tutti gli oggetti nell'area di lavoro, che consente di gestire le autorizzazioni per tutti gli oggetti nelle aree di lavoro. Gli utenti dispongono automaticamente dell'autorizzazione CAN MANAGE per gli oggetti creati.
Per un esempio di come eseguire il mapping di utenti tipici alle autorizzazioni a livello di area di lavoro, si veda Proposta di introduzione ai gruppi e alle autorizzazioni di Databricks.
Gestire gli elenchi di controllo di accesso con le cartelle
È possibile gestire le autorizzazioni per gli oggetti dell'area di lavoro aggiungendo oggetti alle cartelle. Gli oggetti in una cartella ereditano tutte le impostazioni delle autorizzazioni della cartella. Ad esempio, un utente che ha l'autorizzazione CAN RUN su una cartella ha l'autorizzazione CAN RUN sugli avvisi in quella cartella.
Se si concede a un utente l'accesso a un oggetto all'interno della cartella, può visualizzare il nome della cartella padre, anche se non dispone delle autorizzazioni per la cartella padre. Ad esempio, un notebook denominato test1.py si trova in una cartella denominata Workflows. Se si concede a un utente CAN READ on test1.py e non si dispone di autorizzazioni per Workflows, l'utente può vedere che la cartella padre è denominata Workflows. L'utente non può visualizzare o accedere ad altri oggetti nella cartella Workflows, a meno che non disponga delle autorizzazioni per tali oggetti.
Per informazioni sull'organizzazione degli oggetti in cartelle, si veda Visualizzatore area di lavoro.
ACL della dashboard di IA/BI.
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VEDERE / PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Visualizzare dashboard e risultati | x | x | x | |
| Interagire con i widget | x | x | x | |
| Aggiornare il dashboard | x | x | x | |
| Modificare il dashboard | x | x | ||
| Clonare una dashboard | x | x | x | |
| Pubblicare lo snapshot della dashboard | x | x | ||
| Modify permissions | x | |||
| Eliminare le dashboard | x |
ACL per gli avvisi
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ ESEGUIRE | PUÒ GESTIRE |
|---|---|---|---|
| Vedere nell'elenco degli avvisi | x | x | |
| Visualizzare un avviso e un risultato | x | x | |
| Attivare manualmente l'esecuzione degli avvisi | x | x | |
| Sottoscrivere le notifiche | x | x | |
| Modificare l'avviso | x | ||
| Modify permissions | x | ||
| Eliminare un avviso | x |
ACL di calcolo
Importante
Gli utenti con autorizzazioni CAN ATTACH TO possono visualizzare le chiavi dell'account del servizio nel file log4j. Prestare attenzione quando si concede questo livello di autorizzazione.
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ COLLEGARE A | PUÒ RIAVVIARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Collegare un notebook a risorse di calcolo | x | x | x | |
| View Spark UI | x | x | x | |
| Visualizzare metriche di calcolo | x | x | x | |
| Terminare un ambiente di calcolo | x | x | ||
| Avviare e riavviare un ambiente di calcolo | x | x | ||
| Visualizzare i Log del Driver | x (vedere la nota) | |||
| Modificare un ambiente di calcolo | x | |||
| Collegare la libreria a un ambiente di calcolo | x | |||
| Ridimensionare un ambiente di calcolo | x | |||
| Modify permissions | x |
Nota
I segreti non vengono elaborati dal log stdout e stderr dai flussi del driver Spark di un cluster. Per proteggere i dati sensibili, per impostazione predefinita, i log dei driver Spark sono visualizzabili solo dagli utenti con l'autorizzazione CAN MANAGE per il processo, la modalità di accesso utente singolo e i cluster in modalità di accesso condiviso. Per consentire agli utenti con l'autorizzazione CAN ATTACH TO o CAN RESTART per visualizzare i log in questi cluster, impostare la proprietà di configurazione Spark seguente nella configurazione del cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
Nei cluster in modalità di accesso condiviso senza isolamento i log del driver Spark possono essere visualizzati dagli utenti con l'autorizzazione CAN ATTACH TO o CAN MANAGE. Per limitare gli utenti che possono leggere i log solo agli utenti con l'autorizzazione CAN MANAGE, impostare spark.databricks.acl.needAdminPermissionToViewLogs su true.
Vedere Configurazione Spark per avere informazioni su come aggiungere proprietà Spark a una configurazione del cluster.
ACL della dashboard legacy
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizzare nell'elenco dei pannelli | x | x | x | x | |
| Visualizzare dashboard e risultati | x | x | x | x | |
| Aggiornare i risultati della query nel dashboard (o scegliere parametri diversi) | x | x | x | ||
| Modificare il dashboard | x | x | |||
| Modify permissions | x | ||||
| Eliminare le dashboard | x |
La modifica di una dashboard legacy richiede l'impostazione di condivisione Esegui come visualizzatore. Consultare il comportamento di aggiornamento e il contesto di esecuzione.
ACL della pipeline di Live Tables Delta
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ ESEGUIRE | PUÒ GESTIRE | È PROPRIETARIO |
|---|---|---|---|---|---|
| Visualizzare i dettagli della pipeline e elencare la pipeline | x | x | x | x | |
| Visualizzare l'interfaccia utente di Spark e i log dei driver | x | x | x | x | |
| Avviare e interrompere l'aggiornamento di una pipeline | x | x | x | ||
| Arrestare direttamente i cluster di pipeline | x | x | x | ||
| Modificare le impostazioni della pipeline | x | x | |||
| Eliminare la pipeline | x | x | |||
| Rimuovere definitivamente esecuzioni ed esperimenti | x | x | |||
| Modify permissions | x | x |
ACL delle tabelle delle funzionalità di
Questa tabella descrive come controllare l'accesso alle tabelle delle funzionalità nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per il Catalogo Unity, usa privilegi del Catalogo Unity.
Nota
- Il controllo di accesso dell'archivio delle funzionalità non regola l'accesso alla tabella Delta sottostante , che è regolata dal controllo di accesso alle tabelle .
- Per ulteriori informazioni sulle autorizzazioni delle tabelle delle funzionalità nell'area di lavoro, consultare Come controllare l'accesso alle tabelle nel Workspace Feature Store (legacy).
| Capacità | PUÒ VISUALIZZARE I METADATI | PUÒ MODIFICARE I METADATI | PUÒ GESTIRE |
|---|---|---|---|
| Leggere la tabella delle funzionalità | X | X | X |
| Tabella delle funzionalità di ricerca | X | X | X |
| Pubblicare la tabella delle caratteristiche nel negozio online | X | X | X |
| Scrivere funzionalità nella tabella delle funzionalità | X | X | |
| Aggiornare la descrizione della tabella delle funzionalità | X | X | |
| Modify permissions | X | ||
| Eliminare la tabella delle funzionalità | X |
ACL di file
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Leggere un file | x | x | x | x | |
| Commento | x | x | x | x | |
| Allegare e scollegare un file | x | x | x | ||
| Eseguire il file in modo interattivo | x | x | x | ||
| Edit file (Modifica file) | x | x | |||
| Modify permissions | x |
ACL per le cartelle
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ MODIFICARE | PUÒ ESEGUIRE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Elencare gli oggetti nella cartella | x | x | x | x | x |
| Visualizzare gli oggetti nella cartella | x | x | x | x | |
| Clonare ed esportare elementi | x | x | x | ||
| Eseguire oggetti nella cartella | x | x | |||
| Creare, importare ed eliminare elementi | x | ||||
| Spostare e rinominare elementi | x | ||||
| Modify permissions | x |
ACL di spazio Genie
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VEDERE / PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Visualizza nella lista degli spazi di Genie | x | x | x | x |
| Fare domande a Genie | x | x | x | |
| Fornire feedback sulla risposta | x | x | x | |
| Aggiungere o modificare istruzioni per Genie | x | x | ||
| Aggiungere o modificare domande di esempio | x | x | ||
| Aggiungere o rimuovere tabelle incluse | x | x | ||
| Monitorare uno spazio | x | |||
| Modify permissions | x | |||
| Eliminare uno spazio | x | |||
| Visualizzare le conversazioni di altri utenti | x | x |
ACL per le cartelle Git
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Elencare gli asset in una cartella | x | x | x | x | x |
| Visualizzare le risorse in una cartella | x | x | x | x | |
| Clonare ed esportare risorse | x | x | x | x | |
| Eseguire le risorse eseguibili in una cartella | x | x | x | ||
| Modificare e rinominare le risorse in una cartella | x | x | |||
| Creare un ramo in una cartella | x | ||||
| Eseguire il pull o il push di un ramo in una cartella | x | ||||
| Creare, importare, eliminare e spostare risorse | x | ||||
| Modify permissions | x |
ACL di processo
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ GESTIRE L’ESECUZIONE | È PROPRIETARIO | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizzare dettagli e impostazioni del processo | x | x | x | x | |
| Visualizza risultati | x | x | x | x | |
| Visualizzare l’interfaccia utente di Apache Spark e i logo di esecuzione dei processi | x | x | x | ||
| Run now | x | x | x | ||
| Annulla esecuzione | x | x | x | ||
| Modifica impostazioni del processo | x | x | |||
| Eliminare un processo | x | x | |||
| Modify permissions | x | x |
ACL per esperimenti MLflow
Gli ACL dell'esperimento MLflow sono diversi per gli esperimenti di notebook e gli esperimenti dell'area di lavoro. Gli esperimenti del notebook non possono essere gestiti indipendentemente dal notebook che li ha creati, quindi hanno gli stessi permessi del notebook. Per saperne di più sui due tipi di esperimenti, consulta Organizzare le esecuzioni di allenamento con esperimenti MLflow.
Elenchi di controllo di accesso per gli esperimenti di notebook
La modifica di queste autorizzazioni modifica anche le autorizzazioni nel notebook corrispondente all'esperimento.
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizzare il notebook | x | x | x | x | |
| Commento nel notebook | x | x | x | x | |
| Collegare/scollegare un notebook per il calcolo | x | x | x | ||
| Eseguire comandi nel notebook | x | x | x | ||
| Modificare il notebook | x | x | |||
| Modify permissions | x |
Elenchi di controllo di accesso per gli esperimenti dell'area di lavoro
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Visualizzare l'esperimento | x | x | x | |
| Registra le esecuzioni dell'esperimento | x | x | ||
| Modificare l'esperimento | x | x | ||
| Eliminare l'esperimento | x | |||
| Modify permissions | x |
ACL del modello MLflow
Questa tabella descrive come controllare l'accesso ai modelli registrati nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per il Catalogo Unity, usa privilegi del Catalogo Unity.
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ MODIFICARE | PUÒ GESTIRE LE VERSIONI DI GESTIONE TEMPORANEA | PUÒ GESTIRE LE VERSIONI DI PRODUZIONE | PUÒ GESTIRE |
|---|---|---|---|---|---|---|
| Visualizzare i dettagli del modello, le versioni, le richieste di transizione di fase, le attività e gli URI di download degli artefatti | x | x | x | x | x | |
| Richiedere una transizione della fase di versione del modello | x | x | x | x | x | |
| Aggiungere una versione a un modello | x | x | x | x | ||
| Aggiornare il modello e la descrizione della versione | x | x | x | x | ||
| Aggiungere o modificare tag | x | x | x | x | ||
| Eseguire la transizione della versione del modello tra fasi | x | x | x | |||
| Approvare una richiesta di transizione | x | x | x | |||
| Annullare una richiesta di transizione | x | |||||
| Rename Model | x | |||||
| Modify permissions | x | |||||
| Eliminare un modello o versioni del modello | x |
ACL per notebook
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizza celle | x | x | x | x | |
| Commento | x | x | x | x | |
| Puoi eseguire utilizzando %run o i flussi di lavoro notebook. | x | x | x | x | |
| Collegare e scollegare notebook | x | x | x | ||
| Eseguire comandi | x | x | x | ||
| Modifica celle | x | x | |||
| Modify permissions | x |
ACL per pool
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ COLLEGARE A | PUÒ GESTIRE |
|---|---|---|---|
| Associare un cluster a un pool | x | x | |
| Eliminare un pool | x | ||
| Modificare un pool | x | ||
| Modify permissions | x |
ACL per query
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizzare query personalizzate | x | x | x | x | |
| Visualizza nell'elenco delle query | x | x | x | x | |
| Visualizzare il testo della query | x | x | x | x | |
| Visualizza il risultato della query | x | x | x | x | |
| Aggiornare il risultato della query (o scegliere parametri diversi) | x | x | x | ||
| Includere la query in una dashboard | x | x | x | ||
| Modificare il testo della query | x | x | |||
| Modificare Warehouse SQL o origine dati | x | ||||
| Modify permissions | x | ||||
| query di eliminazione | x |
ACL per segreti
| Capacità | READ | WRITE | MANAGE |
|---|---|---|---|
| Leggere l'ambito del segreto | x | x | x |
| Elenca i segreti nell'ambito | x | x | x |
| Scrivere nell'ambito del segreto | x | x | |
| Modify permissions | x |
ACL per endpoint di gestione
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ ESEGUIRE QUERY | PUÒ GESTIRE |
|---|---|---|---|---|
| Ottenere l'endpoint | x | x | x | |
| Elencare l'endpoint | x | x | x | |
| Endpoint di query | x | x | ||
| Aggiornare la configurazione dell'endpoint | x | |||
| Eliminare un endpoint | x | |||
| Modify permissions | x |
ACl per warehouse SQL
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ USARE | PUÒ MONITORARE | È PROPRIETARIO | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Avviare il warehouse | x | x | x | x | |
| Visualizzare i dettagli del warehouse | x | x | x | x | |
| Visualizzare le query del warehouse | x | x | x | ||
| Esegui query | x | x | x | x | |
| Scheda Visualizza monitoraggio warehouse | x | x | x | ||
| Arrestare il warehouse | x | x | |||
| Eliminare il warehouse | x | x | |||
| Modificare il warehouse | x | x | |||
| Modify permissions | x | x |
ACL dell'endpoint di ricerca vettoriale
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ CREARE | PUÒ USARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Ottenere l'endpoint | x | x | x | |
| Elencare gli endpoint | x | x | x | |
| Creare un endpoint | x | x | x | |
| Usare l'endpoint (crea indice) | x | x | ||
| Eliminare un endpoint | x | |||
| Modify permissions | x |