Elenchi di controllo di accesso
Questo articolo descrive in dettaglio le autorizzazioni disponibili per i diversi oggetti dell'area di lavoro.
Nota
Il controllo di accesso richiede un piano Premium.
Le impostazioni di controllo di accesso sono disabilitate per impostazione predefinita nelle aree di lavoro aggiornate dal piano Standard al piano Premium. Una volta abilitata un'impostazione di controllo di accesso, non può essere disabilitata. Per maggiori informazioni, si veda Gli elenchi dei controlli di accesso possono essere abilitati nelle aree di lavoro aggiornate.
Panoramica degli elenchi di controllo di accesso
In Azure Databricks è possibile usare elenchi di controllo di accesso (ACL) per configurare l'autorizzazione per accedere agli oggetti a livello di area di lavoro. Gli amministratori dell'area di lavoro hanno l'autorizzazione CAN MANAGE per tutti gli oggetti nell'area di lavoro, che consente di gestire le autorizzazioni per tutti gli oggetti nelle aree di lavoro. Gli utenti dispongono automaticamente dell'autorizzazione CAN MANAGE per gli oggetti creati.
Per un esempio di come eseguire il mapping di utenti tipici alle autorizzazioni a livello di area di lavoro, si veda Proposta di introduzione ai gruppi e alle autorizzazioni di Databricks.
Gestire gli elenchi di controllo di accesso con le cartelle
È possibile gestire le autorizzazioni per gli oggetti dell'area di lavoro aggiungendo oggetti alle cartelle. Gli oggetti in una cartella ereditano tutte le impostazioni delle autorizzazioni della cartella. Ad esempio, un utente che ha l'autorizzazione CAN RUN su una cartella ha l'autorizzazione CAN RUN sugli avvisi in quella cartella.
Se si concede a un utente l'accesso a un oggetto all'interno della cartella, può visualizzare il nome della cartella padre, anche se non dispone delle autorizzazioni per la cartella padre. Ad esempio, un notebook denominato test1.py si trova in una cartella denominata Workflows. Se si concede a un utente CAN READ on test1.py e non si dispone di autorizzazioni per Workflows, l'utente può vedere che la cartella padre è denominata Workflows. L'utente non può visualizzare o accedere ad altri oggetti nella cartella Workflows, a meno che non disponga delle autorizzazioni per tali oggetti.
Per informazioni sull'organizzazione degli oggetti in cartelle, si veda Visualizzatore area di lavoro.
ACL della dashboard di IA/BI.
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VEDERE / PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Visualizzare dashboard e risultati | x | x | x | |
| Interagire con i widget | x | x | x | |
| Aggiornare il dashboard | x | x | x | |
| Modificare il dashboard | x | x | ||
| Clonare una dashboard | x | x | x | |
| Pubblicare lo snapshot della dashboard | x | x | ||
| Modifica autorizzazioni | x | |||
| Eliminare le dashboard | x |
ACL per gli avvisi
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ ESEGUIRE | PUÒ GESTIRE |
|---|---|---|---|
| Vedere nell'elenco degli avvisi | x | x | |
| Visualizzare un avviso e un risultato | x | x | |
| Attivare manualmente l'esecuzione del ciclo di allerta | x | x | |
| Sottoscrivere le notifiche | x | x | |
| Modificare l'avviso | x | ||
| Modifica autorizzazioni | x | ||
| Eliminare un avviso | x |
ACL di calcolo
Importante
Gli utenti con autorizzazioni CAN ATTACH TO possono visualizzare le chiavi dell'account del servizio nel file log4j. Prestare attenzione quando si concede questo livello di autorizzazione.
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ COLLEGARE A | PUÒ RIAVVIARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Collegare un notebook a risorse di calcolo | x | x | x | |
| Visualizza Spark UI | x | x | x | |
| Visualizzare metriche di calcolo | x | x | x | |
| Terminare il calcolo | x | x | ||
| Avviare e riavviare un ambiente di calcolo | x | x | ||
| Visualizzare i registri del driver | x (vedere la nota) | |||
| Modificare un ambiente di calcolo | x | |||
| Collegare la libreria a un ambiente di calcolo | x | |||
| Ridimensionare un ambiente di calcolo | x | |||
| Modifica permessi | x |
Nota
I segreti non vengono omessi dal log del driver Spark di un cluster e dai flussi. Per proteggere i dati sensibili, per impostazione predefinita, i log dei driver Spark sono visualizzabili solo dagli utenti con l'autorizzazione CAN MANAGE per il processo, la modalità di accesso dedicata e i cluster in modalità di accesso standard. Per consentire agli utenti con l'autorizzazione CAN ATTACH TO o CAN RESTART per visualizzare i log in questi cluster, impostare la proprietà di configurazione Spark seguente nella configurazione del cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
Nei cluster in modalità di accesso condiviso senza isolamento i log del driver Spark possono essere visualizzati dagli utenti con l'autorizzazione CAN ATTACH TO o CAN MANAGE. Per limitare gli utenti che possono leggere i log solo agli utenti con l'autorizzazione CAN MANAGE, impostare spark.databricks.acl.needAdminPermissionToViewLogs su true.
Vedere Configurazione Spark per avere informazioni su come aggiungere proprietà Spark a una configurazione del cluster.
ACL della dashboard legacy
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ CORRERE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizzare nell'elenco dei pannelli | x | x | x | x | |
| Visualizzare dashboard e risultati | x | x | x | x | |
| Aggiornare i risultati della query nel dashboard (o scegliere parametri diversi) | x | x | x | ||
| Modificare il dashboard | x | x | |||
| Modifica autorizzazioni | x | ||||
| Eliminare le dashboard | x |
La modifica di una dashboard legacy richiede l'impostazione di condivisione Esegui come visualizzatore. Consultare il comportamento di aggiornamento e il contesto di esecuzione.
ACL della pipeline DLT
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ ESEGUIRE | PUÒ GESTIRE | È PROPRIETARIO |
|---|---|---|---|---|---|
| Visualizzare i dettagli della pipeline e elencare la pipeline | x | x | x | x | |
| Visualizzare l'interfaccia utente di Spark e i log dei driver | x | x | x | x | |
| Avviare e interrompere l'aggiornamento di una pipeline | x | x | x | ||
| Interrompere direttamente i cluster di pipeline | x | x | x | ||
| Modificare le impostazioni della pipeline | x | x | |||
| Eliminare la pipeline | x | x | |||
| Rimuovere definitivamente esecuzioni ed esperimenti | x | x | |||
| Modifica permessi | x | x |
ACL delle tabelle delle funzionalità di
Questa tabella descrive come controllare l'accesso alle tabelle delle funzionalità nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per il Catalogo Unity, usa privilegi del Catalogo Unity.
Nota
- Il controllo di accesso dell'archivio delle funzionalità non regola l'accesso alla tabella Delta sottostante , che è regolata dal controllo di accesso alle tabelle .
- Per ulteriori informazioni sulle autorizzazioni delle tabelle delle funzionalità nell'area di lavoro, consultare Come controllare l'accesso alle tabelle nel Workspace Feature Store (legacy).
| Capacità | PUOI VISUALIZZARE I METADATI | PUÒ MODIFICARE I METADATI | PUÒ GESTIRE |
|---|---|---|---|
| Leggere la tabella delle funzionalità | X | X | X |
| Tabella delle funzionalità di ricerca | X | X | X |
| Pubblicare la tabella delle caratteristiche nel negozio online | X | X | X |
| Scrivere funzionalità nella tabella delle funzionalità | X | X | |
| Aggiornare la descrizione della tabella delle funzionalità | X | X | |
| Modifica autorizzazioni | X | ||
| Eliminare la tabella delle funzionalità | X |
ACL di file
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ CORRERE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Leggere un file | x | x | x | x | |
| Commento | x | x | x | x | |
| Allegare e scollegare un file | x | x | x | ||
| Eseguire il file in modo interattivo | x | x | x | ||
| Modifica file | x | x | |||
| Modifica autorizzazioni | x |
ACL delle cartelle
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ MODIFICARE | PUÒ CORRERE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Elencare gli oggetti nella cartella | x | x | x | x | x |
| Visualizzare gli oggetti nella cartella | x | x | x | x | |
| Clonare ed esportare elementi | x | x | x | ||
| Eseguire oggetti nella cartella | x | x | |||
| Creare, importare ed eliminare elementi | x | ||||
| Spostare e rinominare elementi | x | ||||
| Modifica permessi | x |
ACL dello spazio di Genie
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE / PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Visualizza nella lista degli spazi di Genie | x | x | x | x |
| Fare domande a Genie | x | x | x | |
| Fornire feedback sulla risposta | x | x | x | |
| Aggiungere o modificare istruzioni per Genie | x | x | ||
| Aggiungere o modificare domande di esempio | x | x | ||
| Aggiungere o rimuovere tabelle incluse | x | x | ||
| Monitorare uno spazio | x | |||
| Modifica autorizzazioni | x | |||
| Eliminare uno spazio | x | |||
| Visualizzare le conversazioni di altri utenti | x | x |
ACL per le cartelle Git
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ CORRERE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Elencare gli asset in una cartella | x | x | x | x | x |
| Visualizzare le risorse in una cartella | x | x | x | x | |
| Clonare ed esportare risorse | x | x | x | x | |
| Eseguire le risorse eseguibili in una cartella | x | x | x | ||
| Modificare e rinominare le risorse in una cartella | x | x | |||
| Creare un ramo in una cartella | x | ||||
| Cambiare rami in una cartella | x | ||||
| Eseguire il pull o il push di un ramo in una cartella | x | ||||
| Creare, importare, eliminare e spostare risorse | x | ||||
| Modifica permessi | x |
ACL dei lavori
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ GESTIRE L’ESECUZIONE | È PROPRIETARIO | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizza dettagli e impostazioni del lavoro | x | x | x | x | |
| Visualizza risultati | x | x | x | x | |
| Visualizzare l'interfaccia utente di Apache Spark e i log di un'attività | x | x | x | ||
| Esegui ora | x | x | x | ||
| Annulla esecuzione | x | x | x | ||
| Modifica impostazioni del lavoro | x | x | |||
| Eliminare un'attività | x | x | |||
| Modificare autorizzazioni | x | x |
ACL per esperimenti MLflow
Gli ACL dell'esperimento MLflow sono diversi per gli esperimenti di notebook e gli esperimenti dell'area di lavoro. Gli esperimenti del notebook non possono essere gestiti indipendentemente dal notebook che li ha creati, quindi hanno gli stessi permessi del notebook. Per saperne di più sui due tipi di esperimenti, consulta Organizzare le esecuzioni di allenamento con esperimenti MLflow.
Elenchi di controllo di accesso per gli esperimenti di notebook
La modifica di queste autorizzazioni modifica anche le autorizzazioni nel notebook corrispondente all'esperimento.
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ CORRERE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizzare il notebook | x | x | x | x | |
| Commento nel notebook | x | x | x | x | |
| Collegare/scollegare un notebook per il calcolo | x | x | x | ||
| Eseguire comandi nel notebook | x | x | x | ||
| Modificare il notebook | x | x | |||
| Modifica permessi | x |
Elenchi di controllo di accesso per gli esperimenti dell'area di lavoro
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Visualizzare l'esperimento | x | x | x | |
| Registra le esecuzioni dell'esperimento | x | x | ||
| Modificare l'esperimento | x | x | ||
| Eliminare l'esperimento | x | |||
| Modifica autorizzazioni | x |
ACL del modello MLflow
Questa tabella descrive come controllare l'accesso ai modelli registrati nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per il Catalogo Unity, usa privilegi del Catalogo Unity.
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ MODIFICARE | PUÒ GESTIRE LE VERSIONI DI STAGING | PUÒ GESTIRE LE VERSIONI DI PRODUZIONE | PUÒ GESTIRE |
|---|---|---|---|---|---|---|
| Visualizzare i dettagli del modello, le versioni, le richieste di transizione di fase, le attività e gli URI di download degli artefatti | x | x | x | x | x | |
| Richiedere una transizione della fase di versione del modello | x | x | x | x | x | |
| Aggiungere una versione a un modello | x | x | x | x | ||
| Aggiornare il modello e la descrizione della versione | x | x | x | x | ||
| Aggiungere o modificare tag | x | x | x | x | ||
| Eseguire la transizione della versione del modello tra fasi | x | x | x | |||
| Approvare una richiesta di transizione | x | x | x | |||
| Annullare una richiesta di transizione | x | |||||
| Rinomina Modello | x | |||||
| Modifica permessi | x | |||||
| Eliminare un modello o versioni del modello | x |
ACL notebook
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizza celle | x | x | x | x | |
| Commento | x | x | x | x | |
| Puoi eseguire utilizzando %run o i flussi di lavoro notebook. | x | x | x | x | |
| Collegare e scollegare notebook | x | x | x | ||
| Eseguire comandi | x | x | x | ||
| Modifica celle | x | x | |||
| Modifica autorizzazioni | x |
ACL della pool
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ COLLEGARE A | PUÒ GESTIRE |
|---|---|---|---|
| Associare un cluster a un pool | x | x | |
| Eliminare un pool | x | ||
| Modificare un pool | x | ||
| Modifica autorizzazioni | x |
ACL di query
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizzare query personalizzate | x | x | x | x | |
| Visualizza nell'elenco delle query | x | x | x | x | |
| Visualizzare il testo della query | x | x | x | x | |
| Visualizza il risultato della query | x | x | x | x | |
| Aggiornare il risultato della query (o scegliere parametri diversi) | x | x | x | ||
| Includere la query in un dashboard | x | x | x | ||
| Modificare il testo della query | x | x | |||
| Modificare il magazzino SQL o la sorgente dati | x | ||||
| Modifica permessi | x | ||||
| Elimina query | x |
ACL dei segreti
| Capacità | READ | SCRIVI | GESTIRE |
|---|---|---|---|
| Leggere l'ambito segreto | x | x | x |
| Elenca i segreti nell'ambito | x | x | x |
| Scrivere nell'ambito del segreto | x | x | |
| Modifica autorizzazioni | x |
ACL per endpoint di servizio
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ INTERROGARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Ottenere l'endpoint | x | x | x | |
| Elencare l'endpoint | x | x | x | |
| Endpoint di query | x | x | ||
| Aggiornare la configurazione dell'endpoint | x | |||
| Eliminare un endpoint | x | |||
| Modifica permessi | x |
ACL del magazzino SQL
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ MONITORARE | PUÒ USARE | È PROPRIETARIO | PUÒ GESTIRE |
|---|---|---|---|---|---|---|
| Avvia il magazzino | x | x | x | x | ||
| Visualizzare i dettagli del warehouse | x | x | x | x | x | |
| Visualizza le query del magazzino | x | x | x | x | ||
| Esegui le query | x | x | x | x | ||
| Visualizza scheda monitoraggio magazzino | x | x | x | x | ||
| Fermare il magazzino | x | x | ||||
| Eliminare il magazzino | x | x | ||||
| Modificare il magazzino | x | x | ||||
| Modifica autorizzazioni | x | x |
Nota
L'autorizzazione CAN VIEW è in anteprima pubblica.
ACL dell'endpoint di ricerca vettoriale
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ CREARE | PUÒ USARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Ottenere l'endpoint | x | x | x | |
| Elencare gli endpoint | x | x | x | |
| Creare un endpoint | x | x | x | |
| Usa l'endpoint (crea indice) | x | x | ||
| Eliminare un endpoint | x | |||
| Modifica permessi | x |