Toegangsbeheerlijsten
In dit artikel worden details beschreven over de machtigingen die beschikbaar zijn voor de verschillende werkruimteobjecten.
Notitie
Voor toegangsbeheer is het Premium-abonnement vereist.
Instellingen voor toegangsbeheer zijn standaard uitgeschakeld voor werkruimten die worden bijgewerkt van het Standard-abonnement naar het Premium-abonnement. Zodra een instelling voor toegangsbeheer is ingeschakeld, kan deze niet worden uitgeschakeld. Zie Toegangsbeheerlijsten kunnen worden ingeschakeld voor bijgewerkte werkruimten voor meer informatie.
Overzicht van toegangsbeheerlijsten
In Azure Databricks kunt u toegangsbeheerlijsten (ACL's) gebruiken om machtigingen te configureren voor toegang tot objecten op werkruimteniveau. Werkruimtebeheerders hebben de machtiging CAN MANAGE voor alle objecten in hun werkruimte, waardoor ze machtigingen voor alle objecten in hun werkruimten kunnen beheren. Gebruikers hebben automatisch de machtiging CAN MANAGE voor objecten die ze maken.
Zie het voorstel voor Aan de slag met Databricks-groepen en -machtigingen voor een voorbeeld van het toewijzen van typische persona's aan machtigingen op werkruimteniveau.
Toegangsbeheerlijsten beheren met mappen
U kunt machtigingen voor werkruimteobjecten beheren door objecten toe te voegen aan mappen. Objecten in een map nemen alle machtigingsinstellingen van die map over. Een gebruiker met de machtiging CAN RUN voor een map heeft bijvoorbeeld DE MACHTIGING CAN RUN voor de waarschuwingen in die map.
Als u een gebruiker toegang verleent tot een object in de map, kan deze de naam van de bovenliggende map bekijken, zelfs als deze geen machtigingen heeft voor de bovenliggende map. Een notitieblok met de naam test1.py bevindt zich bijvoorbeeld in een map met de naam Workflows. Als u een gebruiker leesrechten verleent op test1.py en geen machtigingen voor Workflows, kan de gebruiker zien dat de bovenliggende map de naam Workflowsheeft. De gebruiker kan geen andere objecten in de Workflows map weergeven of openen, tenzij hij of zij machtigingen heeft gekregen.
Zie de werkruimtebrowser voor meer informatie over het ordenen van objecten in mappen.
AI/BI-dashboard-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN/UITVOEREN | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Dashboard en resultaten weergeven | x | x | x | |
| Interactie met widgets | x | x | x | |
| Het dashboard vernieuwen | x | x | x | |
| Dashboard bewerken | x | x | ||
| Dashboard klonen | x | x | x | |
| Momentopname van dashboard publiceren | x | x | ||
| Machtigingen wijzigen | x | |||
| Dashboard verwijderen | x |
ACL's voor waarschuwingen
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN UITGEVOERD | KAN WORDEN BEHEERD |
|---|---|---|---|
| Zie in de lijst met waarschuwingen | x | x | |
| Waarschuwing en resultaat weergeven | x | x | |
| Waarschuwingsuitvoering handmatig activeren | x | x | |
| Abonneren op meldingen | x | x | |
| Waarschuwing bewerken | x | ||
| Machtigingen wijzigen | x | ||
| Waarschuwing verwijderen | x |
Reken-ACL's
Belangrijk
Gebruikers met CAN ATTACH TO-machtigingen kunnen de serviceaccountsleutels in het log4j-bestand weergeven. Wees voorzichtig bij het verlenen van dit machtigingsniveau.
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEKOPPELD AAN | KAN OPNIEUW WORDEN OPGESTART | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Notebook koppelen aan berekening | x | x | x | |
| Spark-gebruikersinterface weergeven | x | x | x | |
| Metrische rekengegevens weergeven | x | x | x | |
| Rekenproces beëindigen | x | x | ||
| Rekenproces starten en opnieuw starten | x | x | ||
| Stuurprogrammalogboeken weergeven | x (zie opmerking) | |||
| Berekening bewerken | x | |||
| Bibliotheek koppelen aan berekening | x | |||
| Het formaat van de rekenkracht wijzigen | x | |||
| Machtigingen wijzigen | x |
Notitie
Geheimen worden niet bewerkt vanuit het Spark-stuurprogrammalogboek stdout en stderr de streams van een cluster. Als u gevoelige gegevens wilt beveiligen, kunnen spark-stuurprogrammalogboeken standaard alleen worden weergegeven door gebruikers met de machtiging CAN MANAGE voor de taak, de modus voor toegang van één gebruiker en clusters in de modus voor gedeelde toegang. Als u wilt dat gebruikers met de machtiging CAN ATTACH TO of CAN RESTART hebben om de logboeken op deze clusters weer te geven, stelt u de volgende Spark-configuratie-eigenschap in de clusterconfiguratie in: spark.databricks.acl.needAdminPermissionToViewLogs false.
In clusters in de modus Geen isolatie voor gedeelde toegang kunnen de Spark-stuurprogrammalogboeken worden bekeken door gebruikers met de machtiging CAN ATTACH TO of CAN MANAGE. Als u wilt beperken wie de logboeken kan lezen voor alleen gebruikers met de machtiging CAN MANAGE, stelt u spark.databricks.acl.needAdminPermissionToViewLogs in op true.
Bekijk Spark-configuratie voor meer informatie over het toevoegen van Spark-eigenschappen aan een clusterconfiguratie.
Verouderde dashboard-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Lijst in dashboard weergeven | x | x | x | x | |
| Dashboard en resultaten weergeven | x | x | x | x | |
| Queryresultaten vernieuwen in het dashboard (of verschillende parameters kiezen) | x | x | x | ||
| Dashboard bewerken | x | x | |||
| Machtigingen wijzigen | x | ||||
| Dashboard verwijderen | x |
Voor het bewerken van een verouderd dashboard is de instelling Uitvoeren als viewer delen vereist. Zie Gedrag en uitvoeringscontext vernieuwen.
pijplijn-ACL's voor Delta Live Tables
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN WORDEN UITGEVOERD | KAN WORDEN BEHEERD | IS EIGENAAR |
|---|---|---|---|---|---|
| Pijplijndetails en lijstpijplijn weergeven | x | x | x | x | |
| Spark-gebruikersinterface en logboeken van stuurprogramma's weergeven | x | x | x | x | |
| Een pijplijnupdate starten en stoppen | x | x | x | ||
| Pijplijnclusters rechtstreeks stoppen | x | x | x | ||
| Pijplijninstellingen bewerken | x | x | |||
| De pijplijn verwijderen | x | x | |||
| Uitvoeringen en experimenten opschonen | x | x | |||
| Machtigingen wijzigen | x | x |
ACL's voor functietabellen
In deze tabel wordt beschreven hoe u de toegang tot functietabellen in werkruimten beheert die niet zijn ingeschakeld voor Unity Catalog. Als uw werkruimte is ingeschakeld voor Unity Catalog, gebruikt u in plaats daarvan Unity Catalog-bevoegdheden.
Notitie
- Het toegangsbeheer van Feature Store bepaalt geen toegang tot de onderliggende Delta-tabel, die wordt beheerd door toegangsbeheer voor tabellen.
- Voor meer informatie over machtigingen voor werkruimte-functietabellen, zie Toegang tot functietabellen beheren in de werkruimtefeaturestore (verouderd).
| Vermogen | KAN METAGEGEVENS WEERGEVEN | KAN METAGEGEVENS BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|
| Functietabel lezen | X | X | X |
| Zoekfunctietabel | X | X | X |
| Functietabel publiceren in de online winkel | X | X | X |
| Functies schrijven naar functietabel | X | X | |
| Beschrijving van functietabel bijwerken | X | X | |
| Machtigingen wijzigen | X | ||
| Functietabel verwijderen | X |
Bestands-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Bestand lezen | x | x | x | x | |
| Opmerking | x | x | x | x | |
| Bestand bijvoegen en loskoppelen | x | x | x | ||
| Bestand interactief uitvoeren | x | x | x | ||
| Bestand bewerken | x | x | |||
| Machtigingen wijzigen | x |
Map-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN BEWERKEN | KAN WORDEN UITGEVOERD | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Objecten in map weergeven | x | x | x | x | x |
| Objecten in map weergeven | x | x | x | x | |
| Items klonen en exporteren | x | x | x | ||
| Objecten uitvoeren in de map | x | x | |||
| Items maken, importeren en verwijderen | x | ||||
| Items verplaatsen en de naam ervan wijzigen | x | ||||
| Machtigingen wijzigen | x |
Genie-ruimte-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN/UITVOEREN | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Zie in de ruimtelijst in Genie | x | x | x | x |
| Vragen stellen over Genie | x | x | x | |
| Feedback geven | x | x | x | |
| Genie-instructies toevoegen of bewerken | x | x | ||
| Voorbeeldvragen toevoegen of bewerken | x | x | ||
| Opgenomen tabellen toevoegen of verwijderen | x | x | ||
| Een ruimte bewaken | x | |||
| Machtigingen wijzigen | x | |||
| Ruimte verwijderen | x | |||
| Gesprekken van andere gebruikers weergeven | x |
Git-map-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Assets in een map oplijsten | x | x | x | x | x |
| Assets in een map weergeven | x | x | x | x | |
| Assets klonen en exporteren | x | x | x | x | |
| Uitvoerbare assets uitvoeren in map | x | x | x | ||
| Assets in een map bewerken en de naam ervan wijzigen | x | x | |||
| Een vertakking maken in een map | x | ||||
| Een vertakking naar een map ophalen of pushen | x | ||||
| Assets maken, importeren, verwijderen en verplaatsen | x | ||||
| Machtigingen wijzigen | x |
Taak-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN UITVOERING BEHEREN | IS EIGENAAR | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Taakdetails en -instellingen weergeven | x | x | x | x | |
| Resultaten weergeven | x | x | x | x | |
| Spark-gebruikersinterface, logboeken van een taakuitvoering weergeven | x | x | x | ||
| Nu uitvoeren | x | x | x | ||
| Uitvoering annuleren | x | x | x | ||
| Taakinstellingen bewerken | x | x | |||
| Taak verwijderen | x | x | |||
| Machtigingen wijzigen | x | x |
MLflow-experiment-ACL's
MLflow-experiment-ACL's zijn verschillend voor notebookexperimenten en werkruimteexperimenten. Notebookexperimenten kunnen niet onafhankelijk van het notitieblok worden beheerd dat ze heeft gemaakt, zodat de machtigingen vergelijkbaar zijn met notitieblokmachtigingen. Zie Trainingsuitvoeringen organiseren met MLflow-experimentenvoor meer informatie over de twee typen experimenten.
ACLs voor notebook-experimenten
Als u deze machtigingen wijzigt, worden ook de machtigingen voor het notitieblok gewijzigd dat overeenkomt met het experiment.
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Notebook weergeven | x | x | x | x | |
| Opmerking op notitieboek | x | x | x | x | |
| Notebook koppelen/loskoppelen om te berekenen | x | x | x | ||
| Opdrachten uitvoeren in het notebook | x | x | x | ||
| Notitieblok bewerken | x | x | |||
| Machtigingen wijzigen | x |
ACL's voor werkruimteexperimenten
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Experiment weergeven | x | x | x | |
| Logboekregistraties van de experimentuitvoeringen | x | x | ||
| Het experiment bewerken | x | x | ||
| Het experiment verwijderen | x | |||
| Machtigingen wijzigen | x |
MLflow-model-ACL's
In deze tabel wordt beschreven hoe u de toegang tot geregistreerde modellen beheert in werkruimten die niet zijn ingeschakeld voor Unity Catalog. Als uw werkruimte is ingeschakeld voor Unity Catalog, gebruikt u in plaats daarvan Unity Catalog-bevoegdheden.
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN BEWERKEN | KAN FASERINGSVERSIES BEHEREN | KAN PRODUCTIEVERSIES BEHEREN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|---|
| Modeldetails, versies, faseovergangsaanvragen, activiteiten en download-URI's voor artefacten weergeven | x | x | x | x | x | |
| De overgang van een modelversiefase aanvragen | x | x | x | x | x | |
| Een versie toevoegen aan een model | x | x | x | x | ||
| Beschrijving van model en versie bijwerken | x | x | x | x | ||
| Tags toevoegen of bewerken | x | x | x | x | ||
| Overgangsmodelversie tussen fasen | x | x | x | |||
| Een overgangsaanvraag goedkeuren | x | x | x | |||
| Een overgangsaanvraag annuleren | x | |||||
| Naam van model wijzigen | x | |||||
| Machtigingen wijzigen | x | |||||
| Model- en modelversies verwijderen | x |
Notebook-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Cellen weergeven | x | x | x | x | |
| Opmerking | x | x | x | x | |
| Uitvoeren met behulp van %run- of notebookwerkstromen | x | x | x | x | |
| Notitieblokken koppelen en loskoppelen | x | x | x | ||
| Opdrachten uitvoeren | x | x | x | ||
| Cellen bewerken | x | x | |||
| Machtigingen wijzigen | x |
Pool-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEKOPPELD AAN | KAN WORDEN BEHEERD |
|---|---|---|---|
| Cluster koppelen aan pool | x | x | |
| Pool verwijderen | x | ||
| Groep bewerken | x | ||
| Machtigingen wijzigen | x |
Query-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Eigen query's weergeven | x | x | x | x | |
| Zie in de querylijst. | x | x | x | x | |
| Querytekst weergeven | x | x | x | x | |
| Queryresultaat weergeven | x | x | x | x | |
| Queryresultaat vernieuwen (of verschillende parameters kiezen) | x | x | x | ||
| De query opnemen in een dashboard | x | x | x | ||
| Querytekst bewerken | x | x | |||
| SQL Warehouse of gegevensbron wijzigen | x | ||||
| Machtigingen wijzigen | x | ||||
| Query verwijderen | x |
Geheime ACL's
| Vermogen | LEZEN | SCHRIJVEN | BEHEREN |
|---|---|---|---|
| Het geheime bereik lezen | x | x | x |
| Geheimen in de context weergeven | x | x | x |
| Schrijven naar het geheime bereik | x | x | |
| Machtigingen wijzigen | x |
Eindpunt-ACL's leveren
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN QUERY'S UITVOEREN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Eindpunt ophalen | x | x | x | |
| Eindpunt weergeven | x | x | x | |
| Query-eindpunt | x | x | ||
| Eindpuntconfiguratie bijwerken | x | |||
| Eindpunt verwijderen | x | |||
| Machtigingen wijzigen | x |
SQL Warehouse-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEBRUIKT | KAN BEWAKEN | IS EIGENAAR | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Het magazijn starten | x | x | x | x | |
| Magazijndetails weergeven | x | x | x | x | |
| Magazijnquery's weergeven | x | x | x | ||
| Query's uitvoeren | x | x | x | x | |
| Tabblad Bewaking van magazijn weergeven | x | x | x | ||
| Het magazijn stoppen | x | x | |||
| Het magazijn verwijderen | x | x | |||
| Het magazijn bewerken | x | x | |||
| Machtigingen wijzigen | x | x |
Eindpunt-ACL's voor vectorzoekopdrachten
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEMAAKT | KAN WORDEN GEBRUIKT | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Eindpunt ophalen | x | x | x | |
| Eindpunten vermelden | x | x | x | |
| Eindpunt maken | x | x | x | |
| Eindpunt gebruiken (index maken) | x | x | ||
| Eindpunt verwijderen | x | |||
| Machtigingen wijzigen | x |