Condividi tramite

Elenchi di controllo di accesso

  • Articolo

Questo articolo descrive in dettaglio le autorizzazioni disponibili per i diversi oggetti dell'area di lavoro.

Nota

Il controllo di accesso richiede un piano Premium.

Le impostazioni di controllo di accesso sono disabilitate per impostazione predefinita nelle aree di lavoro aggiornate dal piano Standard al piano Premium. Una volta abilitata un'impostazione di controllo di accesso, non può essere disabilitata. Per maggiori informazioni, si veda Gli elenchi dei controlli di accesso possono essere abilitati nelle aree di lavoro aggiornate.

Panoramica degli elenchi di controllo di accesso

In Azure Databricks è possibile usare elenchi di controllo di accesso (ACL) per configurare l'autorizzazione per accedere agli oggetti a livello di area di lavoro. Gli amministratori dell'area di lavoro hanno l'autorizzazione CAN MANAGE per tutti gli oggetti nell'area di lavoro, che consente di gestire le autorizzazioni per tutti gli oggetti nelle aree di lavoro. Gli utenti dispongono automaticamente dell'autorizzazione CAN MANAGE per gli oggetti creati.

Per un esempio di come eseguire il mapping di utenti tipici alle autorizzazioni a livello di area di lavoro, si veda Proposta di introduzione ai gruppi e alle autorizzazioni di Databricks.

Gestire gli elenchi di controllo di accesso con le cartelle

È possibile gestire le autorizzazioni per gli oggetti dell'area di lavoro aggiungendo oggetti alle cartelle. Gli oggetti in una cartella ereditano tutte le impostazioni delle autorizzazioni della cartella. Ad esempio, un utente che ha l'autorizzazione CAN RUN su una cartella ha l'autorizzazione CAN RUN sugli avvisi in quella cartella.

Se si concede l'accesso a un oggetto all'interno della cartella, l'utente può visualizzare il nome della cartella padre, anche se non ha i permessi per la cartella padre. Ad esempio, un notebook denominato test1.py si trova in una cartella denominata Workflows. Se si concede a un utente un’autorizzazione CAN READ per test1.py e nessuna autorizzazione per Workflows, l'utente può vedere che la cartella padre è denominata Workflows. L'utente non può visualizzare o accedere ad altri oggetti nella cartella Workflows, a meno che non disponga delle autorizzazioni per tali oggetti.

Per informazioni sull'organizzazione degli oggetti in cartelle, si veda Visualizzatore area di lavoro.

ACL della dashboard di IA/BI.

Capacità NESSUNA AUTORIZZAZIONE PUÒ VEDERE / PUÒ ESEGUIRE PUÒ MODIFICARE PUÒ GESTIRE
Visualizzare dashboard e risultati x x x
Interagire con i widget x x x
Aggiornare la dashboard x x x
Modificare il dashboard x x
Clonare una dashboard x x x
Pubblicare lo snapshot della dashboard x x
Modify permissions x
Eliminare le dashboard x

ACL per gli avvisi

Capacità NESSUNA AUTORIZZAZIONE PUÒ ESEGUIRE PUÒ GESTIRE
Vedere nell'elenco degli avvisi x x
Visualizzare un avviso e un risultato x x
Attivare manualmente l'esecuzione degli avvisi x x
Sottoscrivere le notifiche x x
Modificare l'avviso x
Modify permissions x
Eliminare un avviso x

ACL di calcolo

Importante

Gli utenti con autorizzazioni CAN ATTACH TO possono visualizzare le chiavi dell'account del servizio nel file log4j. Prestare attenzione quando si concede questo livello di autorizzazione.

Capacità NESSUNA AUTORIZZAZIONE PUÒ COLLEGARE A PUÒ RIAVVIARE PUÒ GESTIRE
Collegare un notebook a risorse di calcolo x x x
View Spark UI x x x
Visualizzare metriche di calcolo x x x
Terminare un ambiente di calcolo x x
Avviare e riavviare un ambiente di calcolo x x
Visualizzare i Log del Driver x (vedere la nota)
Modificare un ambiente di calcolo x
Collegare la libreria a un ambiente di calcolo x
Ridimensionare un ambiente di calcolo x
Modify permissions x

Nota

I segreti non vengono elaborati dal log stdout e stderr dai flussi del driver Spark di un cluster. Per proteggere i dati sensibili, per impostazione predefinita, i log dei driver Spark sono visualizzabili solo dagli utenti con l'autorizzazione CAN MANAGE per il processo, la modalità di accesso utente singolo e i cluster in modalità di accesso condiviso. Per consentire agli utenti con l'autorizzazione CAN ATTACH TO o CAN RESTART per visualizzare i log in questi cluster, impostare la proprietà di configurazione Spark seguente nella configurazione del cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.

Nei cluster in modalità di accesso condiviso senza isolamento i log del driver Spark possono essere visualizzati dagli utenti con l'autorizzazione CAN ATTACH TO o CAN MANAGE. Per limitare la lettura dei log ai soli utenti con l'autorizzazione CAN MANAGE, impostare spark.databricks.acl.needAdminPermissionToViewLogs su true.

Vedere Configurazione Spark per avere informazioni su come aggiungere proprietà Spark a una configurazione del cluster.

ACL della dashboard legacy

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE PUÒ ESEGUIRE PUÒ MODIFICARE PUÒ GESTIRE
Vedere in Elencare le dashboard. x x x x
Visualizzare dashboard e risultati x x x x
Aggiornare i risultati della query nella dashboard (o scegliere parametri diversi) x x x
Modificare il dashboard x x
Modify permissions x
Eliminare le dashboard x

La modifica di una dashboard legacy richiede l'impostazione di condivisione Esegui come visualizzatore. Vedere Comportamento di aggiornamento e contesto di esecuzione.

ACL della pipeline di tabelle live delta

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE PUÒ ESEGUIRE PUÒ GESTIRE È PROPRIETARIO
Visualizzare i dettagli della pipeline e elencare la pipeline x x x x
Visualizzare l'interfaccia utente di Spark e i log dei driver x x x x
Avviare e arrestare un aggiornamento della pipeline x x x
Arrestare direttamente i cluster di pipeline x x x
Modificare le impostazioni della pipeline x x
Eliminare la pipeline x x
Rimuovere definitivamente esecuzioni ed esperimenti x x
Modify permissions x x

ACL per le tabelle delle funzionalità

Questa tabella descrive come controllare l'accesso alle tabelle delle funzionalità nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per il catalogo Unity, è necessario utilizzare i privilegi del catalogo Unity.

Nota

Capacità PUÒ VISUALIZZARE I METADATI PUÒ MODIFICARE I METADATI PUÒ GESTIRE
Leggere la tabella delle funzionalità X X X
Tabella delle funzioni di ricerca X X X
Pubblicare la tabella delle funzionalità nello store online X X X
Scrivere funzionalità nella tabella delle funzionalità X X
Aggiornare la descrizione della tabella delle funzionalità X X
Modify permissions X
Eliminare la tabella delle funzionalità X

ACL di file

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ ESEGUIRE PUÒ MODIFICARE PUÒ GESTIRE
Leggere un file x x x x
Commento x x x x
Allegare e scollegare un file x x x
Eseguire il file in modo interattivo x x x
Edit file (Modifica file) x x
Modify permissions x

ACL per le cartelle

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ MODIFICARE PUÒ ESEGUIRE PUÒ GESTIRE
Elencare gli oggetti nella cartella x x x x x
Visualizzare gli oggetti nella cartella x x x x
Clonare ed esportare elementi x x x
Eseguire oggetti nella cartella x x
Creare, importare ed eliminare elementi x
Spostare e rinominare elementi x
Modify permissions x

ACL di spazio Genie

Capacità NESSUNA AUTORIZZAZIONE PUÒ VEDERE / PUÒ ESEGUIRE PUÒ MODIFICARE PUÒ GESTIRE
Vedere nell'elenco degli spazi Genie x x x x
Fare domande a Genie x x x
Fornire feedback sulla risposta x x x
Aggiungere o modificare istruzioni per Genie x x
Aggiungere o modificare domande di esempio x x
Aggiungere o rimuovere tabelle incluse x x
Monitorare uno spazio x
Modify permissions x
Eliminare uno spazio x
Visualizzare le conversazioni di altri utenti x

ACL per le cartelle Git

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ ESEGUIRE PUÒ MODIFICARE PUÒ GESTIRE
Elencare le risorse in una cartella x x x x x
Visualizzare le risorse in una cartella x x x x
Clonare ed esportare risorse x x x x
Eseguire le risorse eseguibili in una cartella x x x
Modificare e rinominare le risorse in una cartella x x
Creare un ramo in una cartella x
Eseguire il pull o il push di un ramo in una cartella x
Creare, importare, eliminare e spostare risorse x
Modify permissions x

ACL di processo

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE PUÒ GESTIRE L’ESECUZIONE È PROPRIETARIO PUÒ GESTIRE
Visualizzare dettagli e impostazioni del processo x x x x
Visualizza risultati x x x x
Visualizzare l’interfaccia utente di Apache Spark e i logo di esecuzione dei processi x x x
Run now x x x
Annulla esecuzione x x x
Modifica impostazioni del processo x x
Eliminare un processo x x
Modify permissions x x

ACL per esperimenti MLflow

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ MODIFICARE PUÒ GESTIRE
Visualizzare le esecuzioni di confronto delle informazioni di esecuzione x x x
Visualizzare, elencare e scaricare gli artefatti di esecuzione x x x
Creare, eliminare e ripristinare le esecuzioni x x
Parametri di esecuzione del log, metriche, tag x x
Artefatti di esecuzione del log x x
Modificare i tag dell'esperimento x x
Rimuovere definitivamente esecuzioni ed esperimenti x
Modify permissions x

ACL del modello MLflow

Questa tabella descrive come controllare l'accesso per registrare modelli nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per il catalogo Unity, è necessario utilizzare i privilegi del catalogo Unity.

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ MODIFICARE PUÒ GESTIRE LE VERSIONI DI GESTIONE TEMPORANEA PUÒ GESTIRE LE VERSIONI DI PRODUZIONE PUÒ GESTIRE
Visualizzare i dettagli del modello, le versioni, le richieste di transizione di fase, le attività e gli URI di download degli artefatti x x x x x
Richiedere una transizione della fase di versione del modello x x x x x
Aggiungere una versione a un modello x x x x
Aggiornare il modello e la descrizione della versione x x x x
Aggiungere o modificare tag x x x x
Eseguire la transizione della versione del modello tra fasi x x x
Approvare una richiesta di transizione x x x
Annullare una richiesta di transizione x
Rename Model x
Modify permissions x
Eliminare un modello o versioni del modello x

ACL per notebook

Capacità NESSUNA AUTORIZZAZIONE PUÒ LEGGERE PUÒ ESEGUIRE PUÒ MODIFICARE PUÒ GESTIRE
Visualizza celle x x x x
Commento x x x x
Eseguire tramite %run o flussi di lavoro del notebook x x x x
Collegare e scollegare notebook x x x
Eseguire comandi x x x
Modifica celle x x
Modify permissions x

ACL per pool

Capacità NESSUNA AUTORIZZAZIONE PUÒ COLLEGARE A PUÒ GESTIRE
Associare un cluster a un pool x x
Eliminare un pool x
Modificare un pool x
Modify permissions x

ACL per query

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE PUÒ ESEGUIRE PUÒ MODIFICARE PUÒ GESTIRE
Visualizzare query personalizzate x x x x
Vedere negli elenchi di query x x x x
Visualizzare il testo della query x x x x
Visualizza il risultato della query x x x x
Aggiornare i risultati della query (o scegliere parametri diversi) x x x
Includere la query in una dashboard x x x
Modificare il testo della query x x
Modificare Warehouse SQL o origine dati x
Modify permissions x
query di eliminazione x

ACL per segreti

Capacità READ WRITE MANAGE
Leggere l'ambito del segreto x x x
Elencare i segreti nell'ambito x x x
Scrivere nell'ambito del segreto x x
Modify permissions x

ACL per endpoint di gestione

Capacità NESSUNA AUTORIZZAZIONE PUÒ VISUALIZZARE PUÒ ESEGUIRE QUERY PUÒ GESTIRE
Ottenere l'endpoint x x x
Elencare endpoint x x x
Endpoint di query x x
Aggiornare la configurazione di un endpoint x
Eliminare un endpoint x
Modify permissions x

ACl per warehouse SQL

Capacità NESSUNA AUTORIZZAZIONE PUÒ USARE PUÒ MONITORARE È PROPRIETARIO PUÒ GESTIRE
Avviare il warehouse x x x x
Visualizzare i dettagli del warehouse x x x x
Visualizzare le query del warehouse x x x
Esegui query x x x x
Scheda Visualizza monitoraggio warehouse x x x
Arrestare il warehouse x x
Eliminare il warehouse x x
Modificare il warehouse x x
Modify permissions x x

ACL dell'endpoint di ricerca vettoriale

Capacità NESSUNA AUTORIZZAZIONE PUÒ CREARE PUÒ USARE PUÒ GESTIRE
Ottenere l'endpoint x x x
Elencare gli endpoint x x x
Creare un endpoint x x x
Usare l'endpoint (crea indice) x x
Eliminare un endpoint x
Modify permissions x