アクセス制御リスト
[アーティクル] 11/20/2024
2 人の共同作成者
フィードバック
この記事の内容
この記事では、さまざまなワークスペース オブジェクトで使用できるアクセス許可の詳細について説明します。
アクセス制御リストの概要
Azure Databricks では、アクセス制御リスト (ACL) を使用して、ワークスペース レベルのオブジェクトにアクセスするためのアクセス許可を構成できます。 ワークスペース管理者には、ワークスペース内のすべてのオブジェクトに対して CAN MANAGE アクセス許可を持つため、ワークスペース内のすべてのオブジェクトに対するアクセス許可を管理できます。 ユーザーには、自分で作成したオブジェクトに対する CAN MANAGE アクセス許可が自動的に付与されます。
一般的なペルソナをワークスペース レベルのアクセス許可にマップする方法の例については、「Databricks のグループとアクセス許可の使用開始時に関する提案 」を参照してください。
フォルダーを使用してアクセス制御リストを管理する
フォルダーにオブジェクトを追加することで、ワークスペース オブジェクトのアクセス許可を管理できます。 フォルダー内のオブジェクトには、そのフォルダーのアクセス許可設定がすべて継承されます。 たとえば、あるフォルダーに対する CAN RUN アクセス許可を持つユーザーは、そのフォルダー内のアラートに対して CAN RUN アクセス許可を持ちます。
フォルダー内のオブジェクトに対するアクセス権をユーザーに付与すると、付与されたユーザーは親フォルダーに対するアクセス許可がない場合でも、親フォルダーの名前を表示できるようになります。 たとえば、 test1.py
という名前のノートブックが、 Workflows
という名前のフォルダー内にあります。 あるユーザーに test1.py
に対する読み取りの権限を付与するが、Workflows
に対しては一切の権限を与えない場合でも、そのユーザーは親フォルダの名前が Workflows
であることを確認できます。 ユーザーが Workflows
フォルダー内の他のオブジェクトを表示したり操作したりするためには、それぞれのオブジェクトに対するアクセス許可が必要となります。
オブジェクトをフォルダーに整理する方法の詳細については、「ワークスペース ブラウザー 」を参照してください。
AI/BI ダッシュボード ACL
能力
アクセス許可なし
表示可能/実行可能
編集可能
管理可能
ダッシュボードと結果を見る
x
x
x
ウィジェットを操作する
x
x
x
ダッシュボードを更新する
x
x
x
ダッシュボードの編集
x
x
ダッシュボードを複製する
x
x
x
ダッシュボード スナップショットを公開する
x
x
アクセス許可の変更
x
ダッシュボードの削除
x
アラート ACL
能力
アクセス許可なし
実行可能
管理可能
アラート一覧で表示する
x
x
アラートと結果を表示する
x
x
アラートの実行を手動でトリガーする
x
x
通知に登録する
x
x
アラートの編集
x
アクセス許可の変更
x
通知の削除
x
コンピューティング ACL
重要
"アタッチ可能" アクセス許可を持つユーザーは、log4j ファイル内のサービス アカウント キーを表示できます。 このアクセス許可レベルを付与する場合は注意が必要です。
能力
アクセス許可なし
アタッチ可能
再起動可能
管理可能
コンピューティングへのノートブックのアタッチ
x
x
x
Spark ジョブの表示
x
x
x
コンピューティング メトリックの表示
x
x
x
コンピューティングの終了
x
x
コンピューティングの起動と再起動
x
x
ドライバー ログの表示
x (注を参照)
コンピューティングの編集
x
コンピューティングへのライブラリのアタッチ
x
コンピューティングのサイズ変更
x
アクセス許可の変更
x
Note
シークレット は、クラスターの Spark ドライバーのログ ストリーム stdout
と stderr
からは編集されません。 機密データを保護するため、既定では、ジョブに対する "管理可能" アクセス許可、シングル ユーザー アクセス モード、共有アクセス モード クラスターを設定されたユーザーのみが、Spark ドライバーのログを表示できます。 "アタッチ可能" または "再起動可能" アクセス許可を持つユーザーがこれらのクラスターのログを表示できるようにするには、クラスター構成で次の Spark 構成プロパティを設定します: spark.databricks.acl.needAdminPermissionToViewLogs false
。
"分離なし" 共有アクセス モード クラスターでは、"アタッチ可能" または "管理可能" アクセス許可を持つユーザーが Spark ドライバーのログを表示できます。 ログを閲覧できるユーザーを "管理可能" アクセス許可を持つユーザーのみに制限するには、spark.databricks.acl.needAdminPermissionToViewLogs
を true
に設定します。
クラスター構成に Spark プロパティを追加する方法については、「Spark の構成 」を参照してください。
レガシ ダッシュボード ACL
能力
アクセス許可なし
表示可能
実行可能
編集可能
管理可能
ダッシュボードの一覧で見る
x
x
x
x
ダッシュボードと結果を見る
x
x
x
x
ダッシュボードでクエリ結果を更新する (または、別のパラメーターを選択する)
x
x
x
ダッシュボードの編集
x
x
アクセス許可の変更
x
ダッシュボードの削除
x
レガシ ダッシュボードを編集するには、[ビューアーとして実行] 共有設定が必要です。 「動作と実行コンテキストの更新 」を参照してください。
Delta Live Tables パイプライン ACL
能力
アクセス許可なし
表示可能
実行可能
管理可能
所有者
パイプラインの詳細を表示し、パイプラインを一覧表示する
x
x
x
x
Spark UI とドライバー ログを表示する
x
x
x
x
パイプラインの更新を開始および停止する
x
x
x
パイプライン クラスターを直接停止する
x
x
x
パイプラインの設定を編集する
x
x
パイプラインを削除する
x
x
実行と実験の消去
x
x
アクセス許可の変更
x
x
特長テーブル ACL
この表では、Unity Catalog で有効になっていないワークスペース内の機能テーブルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合は、代わりに Unity Catalog 特権 を使用します。
能力
メタデータを表示可能
メタデータを編集可能
管理可能
機能テーブルの読み取り
X
X
X
機能テーブルの検索
X
X
X
機能テーブルのオンライン ストアへの公開
X
X
X
機能テーブルへの機能の書き込み
X
X
機能テーブルの説明の更新
X
X
アクセス許可の変更
X
機能テーブルの削除
X
ファイル ACL
能力
アクセス許可なし
読み取り可能
実行可能
編集可能
管理可能
ファイルの読み取り
x
x
x
x
Comment (コメント)
x
x
x
x
ファイルのアタッチとデタッチ
x
x
x
ファイルを対話形式で実行する
x
x
x
ファイルの編集
x
x
アクセス許可の変更
x
フォルダー ACL
能力
アクセス許可なし
読み取り可能
編集可能
実行可能
管理可能
フォルダー内のオブジェクトを一覧表示する
x
x
x
x
x
フォルダー内のオブジェクトを表示する
x
x
x
x
項目の複製とエクスポート
x
x
x
フォルダー内のオブジェクトを実行する
x
x
項目の作成、インポート、削除
x
項目の移動と名前の変更
x
アクセス許可の変更
x
Genie スペース ACL
能力
アクセス許可なし
表示可能/実行可能
編集可能
管理可能
Genie スペース一覧を参照する
x
x
x
x
Genie に質問する
x
x
x
応答のフィードバックを提供する
x
x
x
Genie の命令を追加または編集する
x
x
サンプルの質問を追加または編集する
x
x
含まれているテーブルを追加または削除する
x
x
スペースを監視する
x
アクセス許可の変更
x
スペースを削除する
x
他のユーザーの会話を表示する
x
Git フォルダー ACL
能力
アクセス許可なし
読み取り可能
実行可能
編集可能
管理可能
フォルダー内の資産の一覧を表示する
x
x
x
x
x
フォルダー内の資産を表示する
x
x
x
x
資産の複製とエクスポート
x
x
x
x
フォルダー内の実行可能な資産を実行する
x
x
x
フォルダー内の資産の編集および名前変更を行う
x
x
フォルダーにブランチを作成する
x
ブランチをフォルダーにプルまたはプッシュする
x
資産を作成、インポート、削除、および移動する
x
アクセス許可の変更
x
ジョブ ACL
能力
アクセス許可なし
表示可能
実行管理可能
所有者
管理可能
ジョブの詳細と設定を表示する
x
x
x
x
結果の表示
x
x
x
x
Spark UI、ジョブ実行のログを表示する
x
x
x
今すぐ実行
x
x
x
実行の取り消し
x
x
x
ジョブ設定を編集する
x
x
ジョブを削除する
x
x
アクセス許可の変更
x
x
MLflow 実験 ACL
能力
アクセス許可なし
読み取り可能
編集可能
管理可能
実行情報の表示、検索、比較実行
x
x
x
実行成果物の表示、一覧表示、ダウンロード
x
x
x
実行の作成、削除、および復元
x
x
ログ実行のパラメーター、メトリック、タグ
x
x
ログ実行の成果物
x
x
実験タグの編集
x
x
実行と実験の消去
x
アクセス許可の変更
x
MLflow モデル ACL
この表では、Unity Catalog で有効になっていないワークスペース内の登録済みのモデルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合は、代わりに Unity Catalog 特権 を使用します。
能力
アクセス許可なし
読み取り可能
編集可能
ステージング バージョンの管理可能
運用バージョンの管理可能
管理可能
モデルの詳細、バージョン、ステージ切り替え要求、アクティビティ、成果物のダウンロード URI を表示する
x
x
x
x
x
モデル バージョ ンステージの切り替えの要求
x
x
x
x
x
モデルへのバージョンの追加
x
x
x
x
モデルとバージョンの更新の説明
x
x
x
x
タグを追加または編集する
x
x
x
x
ステージ間のモデル バージョンの切り替え
x
x
x
移行要求を承認する
x
x
x
移行要求を取り消す
x
モデルの名前変更
x
アクセス許可の変更
x
モデルおよびモデル バージョンの削除
x
ノートブック ACL
能力
アクセス許可なし
読み取り可能
実行可能
編集可能
管理可能
セルの表示
x
x
x
x
Comment (コメント)
x
x
x
x
%run またノートブック ワークフローを使用して実行する
x
x
x
x
ノートブックのアタッチとデタッチ
x
x
x
コマンドの実行
x
x
x
セルの編集
x
x
アクセス許可の変更
x
プール ACL
能力
アクセス許可なし
アタッチ可能
管理可能
クラスターをプールにアタッチする
x
x
プールを削除する
x
プールを編集する
x
アクセス許可の変更
x
クエリ ACL
能力
アクセス許可なし
表示可能
実行可能
編集可能
管理可能
自分のクエリを表示する
x
x
x
x
クエリ一覧を参照する
x
x
x
x
クエリ テキストを表示する
x
x
x
x
クエリ結果を表示する
x
x
x
x
クエリ結果を更新する (または別のパラメーターを選択する)
x
x
x
ダッシュボードにクエリを含める
x
x
x
クエリ テキストを編集する
x
x
SQL ウェアハウスまたはデータ ソースを変更する
x
アクセス許可の変更
x
削除クエリ
x
シークレット ACL
能力
READ
WRITE
管理
シークレット スコープの読み取り
x
x
x
スコープ内のシークレットの一覧表示
x
x
x
シークレット スコープへの書き込み
x
x
アクセス許可の変更
x
エンドポイント ACL の提供
能力
アクセス許可なし
表示可能
クエリ可能
管理可能
エンドポイントを取得する
x
x
x
エンドポイントを一覧表示する
x
x
x
クエリ エンドポイント
x
x
エンドポイント構成を更新する
x
エンドポイントを削除する
x
アクセス許可の変更
x
SQL ウェアハウス ACL
能力
アクセス許可なし
使用可能
CAN MONITOR
所有者
管理可能
ウェアハウスを起動する
x
x
x
x
ウェアハウスの詳細を表示する
x
x
x
x
ウェアハウス クエリの表示
x
x
x
クエリを実行する
x
x
x
x
[ウェアハウスの監視] タブを表示する
x
x
x
ウェアハウスを停止する
x
x
ウェアハウスを削除する
x
x
ウェアハウスを編集する
x
x
アクセス許可の変更
x
x
ベクター検索エンドポイント ACL
能力
アクセス許可なし
CAN CREATE
使用可能
管理可能
エンドポイントを取得する
x
x
x
エンドポイントを一覧表示する
x
x
x
エンドポイントを作成する
x
x
x
エンドポイントの使用 (インデックスの作成)
x
x
エンドポイントを削除する
x
アクセス許可の変更
x