アクセス制御リスト
この記事では、さまざまなワークスペース オブジェクトで使用できるアクセス許可の詳細について説明します。
Note
アクセス制御には Premium プランが必要です。
Standard プランから Premium プランにアップグレードすると、ワークスペースのアクセス制御設定は既定で無効になっています。 アクセス制御設定を有効にした後に無効にすることはできません。 詳細については、「アップグレードされたワークスペースでアクセス制御リストを有効にすることができる」を参照してください。
アクセス制御リストの概要
Azure Databricks では、アクセス制御リスト (ACL) を使用して、ワークスペース レベルのオブジェクトにアクセスするためのアクセス許可を構成できます。 ワークスペース管理者には、ワークスペース内のすべてのオブジェクトに対して CAN MANAGE アクセス許可を持つため、ワークスペース内のすべてのオブジェクトに対するアクセス許可を管理できます。 ユーザーには、自分で作成したオブジェクトに対する CAN MANAGE アクセス許可が自動的に付与されます。
一般的なペルソナをワークスペース レベルのアクセス許可にマップする方法の例については、「Databricks のグループとアクセス許可の使用開始時に関する提案」を参照してください。
フォルダーを使用してアクセス制御リストを管理する
フォルダーにオブジェクトを追加することで、ワークスペース オブジェクトのアクセス許可を管理できます。 フォルダー内のオブジェクトには、そのフォルダーのアクセス許可設定がすべて継承されます。 たとえば、あるフォルダーに対する CAN RUN アクセス許可を持つユーザーは、そのフォルダー内のアラートに対して CAN RUN アクセス許可を持ちます。
フォルダー内のオブジェクトに対するアクセス権をユーザーに付与すると、付与されたユーザーは親フォルダーに対するアクセス許可がない場合でも、親フォルダーの名前を表示できるようになります。 たとえば、 test1.py という名前のノートブックが、 Workflows という名前のフォルダー内にあります。 あるユーザーに test1.py に対する読み取りの権限を付与するが、Workflows に対しては一切の権限を与えない場合でも、そのユーザーは親フォルダの名前が Workflows であることを確認できます。 ユーザーが Workflows フォルダー内の他のオブジェクトを表示したり操作したりするためには、それぞれのオブジェクトに対するアクセス許可が必要となります。
オブジェクトをフォルダーに整理する方法の詳細については、「ワークスペース ブラウザー」を参照してください。
AI/BI ダッシュボード ACL
| 能力 | アクセス許可なし | 表示可能/実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|
| ダッシュボードと結果を見る | x | x | x | |
| ウィジェットを操作する | x | x | x | |
| ダッシュボードを更新する | x | x | x | |
| ダッシュボードの編集 | x | x | ||
| ダッシュボードを複製する | x | x | x | |
| ダッシュボード スナップショットを公開する | x | x | ||
| アクセス許可の変更 | x | |||
| ダッシュボードの削除 | x |
アラート ACL
| 能力 | アクセス許可なし | 実行可能 | 管理可能 |
|---|---|---|---|
| アラート一覧で表示する | x | x | |
| アラートと結果を表示する | x | x | |
| アラートの実行を手動でトリガーする | x | x | |
| 通知に登録する | x | x | |
| アラートの編集 | x | ||
| アクセス許可の変更 | x | ||
| 通知の削除 | x |
コンピューティング ACL
重要
"アタッチ可能" アクセス許可を持つユーザーは、log4j ファイル内のサービス アカウント キーを表示できます。 このアクセス許可レベルを付与する場合は注意が必要です。
| 能力 | アクセス許可なし | アタッチ可能 | 再起動可能 | 管理可能 |
|---|---|---|---|---|
| コンピューティングへのノートブックのアタッチ | x | x | x | |
| Spark ジョブの表示 | x | x | x | |
| コンピューティング メトリックの表示 | x | x | x | |
| コンピューティングの終了 | x | x | ||
| コンピューティングの起動と再起動 | x | x | ||
| ドライバー ログの表示 | x (注を参照) | |||
| コンピューティングの編集 | x | |||
| コンピューティングへのライブラリのアタッチ | x | |||
| コンピューティングのサイズ変更 | x | |||
| アクセス許可の変更 | x |
Note
シークレットは、クラスターの Spark ドライバーのログ ストリーム stdout と stderr からは編集されません。 機密データを保護するため、既定では、ジョブに対する "管理可能" アクセス許可、シングル ユーザー アクセス モード、共有アクセス モード クラスターを設定されたユーザーのみが、Spark ドライバーのログを表示できます。 "アタッチ可能" または "再起動可能" アクセス許可を持つユーザーがこれらのクラスターのログを表示できるようにするには、クラスター構成で次の Spark 構成プロパティを設定します: spark.databricks.acl.needAdminPermissionToViewLogs false。
"分離なし" 共有アクセス モード クラスターでは、"アタッチ可能" または "管理可能" アクセス許可を持つユーザーが Spark ドライバーのログを表示できます。 ログを閲覧できるユーザーを "管理可能" アクセス許可を持つユーザーのみに制限するには、spark.databricks.acl.needAdminPermissionToViewLogs を true に設定します。
クラスター構成に Spark プロパティを追加する方法については、「Spark の構成」を参照してください。
レガシ ダッシュボード ACL
| 能力 | 権限なし | 表示可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| ダッシュボードの一覧で見る | x | x | x | x | |
| ダッシュボードと結果を見る | x | x | x | x | |
| ダッシュボードでクエリ結果を更新する (または、別のパラメーターを選択する) | x | x | x | ||
| ダッシュボードの編集 | x | x | |||
| アクセス許可の変更 | x | ||||
| ダッシュボードの削除 | x |
レガシ ダッシュボードを編集するには、[ビューアーとして実行] 共有設定が必要です。 「動作と実行コンテキストの更新」を参照してください。
Delta Live Tables ACL
| 能力 | 権限なし | 表示可能 | 実行可能 | 管理可能 | 所有者 |
|---|---|---|---|---|---|
| パイプラインの詳細を表示し、パイプラインを一覧表示する | x | x | x | x | |
| Spark UI とドライバー ログを表示する | x | x | x | x | |
| パイプラインの更新を開始および停止する | x | x | x | ||
| パイプライン クラスターを直接停止する | x | x | x | ||
| パイプラインの設定を編集する | x | x | |||
| パイプラインを削除する | x | x | |||
| 実行と実験の消去 | x | x | |||
| アクセス許可の変更 | x | x |
特長テーブル ACL
この表では、Unity Catalog で有効になっていないワークスペース内の機能テーブルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合は、代わりに Unity Catalog 特権を使用します。
Note
- Feature Store のアクセス制御では、基になる Delta テーブルへのアクセスは制御されません。これは、テーブル アクセス制御によって管理されます。
- ワークスペース機能テーブルのアクセス許可の詳細については、「特徴テーブルへのアクセスの制御」を参照してください。
| 能力 | メタデータを表示可能 | メタデータを編集可能 | 管理可能 |
|---|---|---|---|
| 機能テーブルの読み取り | X | X | X |
| 機能テーブルの検索 | X | X | X |
| 機能テーブルのオンライン ストアへの公開 | X | X | X |
| 機能テーブルへの機能の書き込み | X | X | |
| 機能テーブルの説明の更新 | X | x | |
| アクセス許可の変更 | x | ||
| 機能テーブルの削除 | x |
ファイル ACL
| 能力 | 権限なし | 読み取り可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| ファイルの読み取り | x | x | x | x | |
| Comment (コメント) | x | x | x | x | |
| ファイルのアタッチとデタッチ | x | x | x | ||
| ファイルを対話形式で実行する | x | x | x | ||
| ファイルの編集 | x | x | |||
| アクセス許可の変更 | x |
フォルダー ACL
| 能力 | 権限なし | 読み取り可能 | 編集可能 | 実行可能 | 管理可能 |
|---|---|---|---|---|---|
| フォルダー内のオブジェクトを一覧表示する | x | x | x | x | x |
| フォルダー内のオブジェクトを表示する | x | x | x | x | |
| 項目の複製とエクスポート | x | x | x | ||
| フォルダー内のオブジェクトを実行する | x | x | |||
| 項目の作成、インポート、削除 | x | ||||
| 項目の移動と名前の変更 | x | ||||
| アクセス許可の変更 | x |
Genie スペース ACL
| 能力 | アクセス許可なし | 表示可能/実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|
| Genie スペース一覧を参照する | x | x | x | x |
| Genie に質問する | x | x | x | |
| 応答のフィードバックを提供する | x | x | x | |
| Genie の命令を追加または編集する | x | x | ||
| サンプルの質問を追加または編集する | x | x | ||
| 含まれているテーブルを追加または削除する | x | x | ||
| スペースを監視する | x | |||
| アクセス許可の変更 | x | |||
| スペースを削除する | x | |||
| 他のユーザーの会話を表示する | x |
Git フォルダー ACL
| 能力 | 権限なし | 読み取り可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| フォルダー内の資産の一覧を表示する | x | x | x | x | x |
| フォルダー内の資産を表示する | x | x | x | x | |
| 資産の複製とエクスポート | x | x | x | x | |
| フォルダー内の実行可能な資産を実行する | x | x | x | ||
| フォルダー内の資産の編集および名前変更を行う | x | x | |||
| フォルダーにブランチを作成する | x | ||||
| ブランチをフォルダーにプルまたはプッシュする | x | ||||
| 資産を作成、インポート、削除、および移動する | x | ||||
| アクセス許可の変更 | x |
ジョブ ACL
| 能力 | 権限なし | 表示可能 | 実行管理可能 | 所有者 | 管理可能 |
|---|---|---|---|---|---|
| ジョブの詳細と設定を表示する | x | x | x | x | |
| 結果の表示 | x | x | x | x | |
| Spark UI、ジョブ実行のログを表示する | x | x | x | ||
| 今すぐ実行 | x | x | x | ||
| 実行の取り消し | x | x | x | ||
| ジョブ設定を編集する | x | x | |||
| ジョブを削除する | x | x | |||
| アクセス許可の変更 | x | x |
MLflow 実験 ACL
| 能力 | 権限なし | 読み取り可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|
| 実行情報の表示、検索、比較実行 | x | x | x | |
| 実行成果物の表示、一覧表示、ダウンロード | x | x | x | |
| 実行の作成、削除、および復元 | x | x | ||
| ログ実行のパラメーター、メトリック、タグ | x | x | ||
| ログ実行の成果物 | x | x | ||
| 実験タグの編集 | x | x | ||
| 実行と実験の消去 | x | |||
| アクセス許可の変更 | x |
MLflow モデル ACL
この表では、Unity Catalog で有効になっていないワークスペース内の登録済みのモデルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合は、代わりに Unity Catalog 特権を使用します。
| 能力 | 権限なし | 読み取り可能 | 編集可能 | ステージング バージョンの管理可能 | 運用バージョンの管理可能 | 管理可能 |
|---|---|---|---|---|---|---|
| モデルの詳細、バージョン、ステージ切り替え要求、アクティビティ、成果物のダウンロード URI を表示する | x | x | x | x | x | |
| モデル バージョ ンステージの切り替えの要求 | x | x | x | x | x | |
| モデルへのバージョンの追加 | x | x | x | x | ||
| モデルとバージョンの更新の説明 | x | x | x | x | ||
| タグを追加または編集する | x | x | x | x | ||
| ステージ間のモデル バージョンの切り替え | x | x | x | |||
| 移行要求を承認する | x | x | x | |||
| 移行要求を取り消す | x | |||||
| モデルの名前変更 | x | |||||
| アクセス許可の変更 | x | |||||
| モデルおよびモデル バージョンの削除 | x |
ノートブック ACL
| 能力 | 権限なし | 読み取り可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| セルの表示 | x | x | x | x | |
| Comment (コメント) | x | x | x | x | |
| %run またノートブック ワークフローを使用して実行する | x | x | x | x | |
| ノートブックのアタッチとデタッチ | x | x | x | ||
| コマンドの実行 | x | x | x | ||
| セルの編集 | x | x | |||
| アクセス許可の変更 | x |
プール ACL
| 能力 | アクセス許可なし | アタッチ可能 | 管理可能 |
|---|---|---|---|
| クラスターをプールにアタッチする | x | x | |
| プールを削除する | x | ||
| プールを編集する | x | ||
| アクセス許可の変更 | x |
クエリ ACL
| 能力 | 権限なし | 表示可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| 自分のクエリを表示する | x | x | x | x | |
| クエリ一覧を参照する | x | x | x | x | |
| クエリ テキストを表示する | x | x | x | x | |
| クエリ結果を表示する | x | x | x | x | |
| クエリ結果を更新する (または別のパラメーターを選択する) | x | x | x | ||
| ダッシュボードにクエリを含める | x | x | x | ||
| クエリ テキストを編集する | x | x | |||
| SQL ウェアハウスまたはデータ ソースを変更する | x | ||||
| アクセス許可の変更 | x | ||||
| 削除クエリ | x |
シークレット ACL
| 能力 | READ | WRITE | 管理 |
|---|---|---|---|
| シークレット スコープの読み取り | x | x | x |
| スコープ内のシークレットの一覧表示 | x | x | x |
| シークレット スコープへの書き込み | x | x | |
| アクセス許可の変更 | x |
エンドポイント ACL の提供
| 能力 | 権限なし | 表示可能 | クエリ可能 | 管理可能 |
|---|---|---|---|---|
| エンドポイントを取得する | x | x | x | |
| エンドポイントを一覧表示する | x | x | x | |
| クエリ エンドポイント | x | x | ||
| エンドポイント構成を更新する | x | |||
| エンドポイントを削除する | x | |||
| アクセス許可の変更 | x |
SQL ウェアハウス ACL
| 能力 | アクセス許可なし | 使用可能 | CAN MONITOR | 所有者 | 管理可能 |
|---|---|---|---|---|---|
| ウェアハウスを起動する | x | x | x | x | |
| ウェアハウスの詳細を表示する | x | x | x | x | |
| ウェアハウス クエリの表示 | x | x | x | ||
| [ウェアハウスの監視] タブを表示する | x | x | x | ||
| ウェアハウスを停止する | x | x | |||
| ウェアハウスを削除する | x | x | |||
| ウェアハウスを編集する | x | x | |||
| アクセス許可の変更 | x | x |