Toegangsbeheerlijsten
In dit artikel worden details beschreven over de machtigingen die beschikbaar zijn voor de verschillende werkruimteobjecten.
Notitie
Voor toegangsbeheer is het Premium-abonnement vereist.
Instellingen voor toegangsbeheer zijn standaard uitgeschakeld voor werkruimten die worden bijgewerkt van het Standard-abonnement naar het Premium-abonnement. Zodra een instelling voor toegangsbeheer is ingeschakeld, kan deze niet worden uitgeschakeld. Zie Toegangsbeheerlijsten kunnen worden ingeschakeld voor bijgewerkte werkruimten voor meer informatie.
Overzicht van toegangsbeheerlijsten
In Azure Databricks kunt u toegangsbeheerlijsten (ACL's) gebruiken om machtigingen te configureren voor toegang tot objecten op werkruimteniveau. Werkruimtebeheerders hebben de machtiging CAN MANAGE voor alle objecten in hun werkruimte, waardoor ze machtigingen voor alle objecten in hun werkruimten kunnen beheren. Gebruikers hebben automatisch de machtiging CAN MANAGE voor objecten die ze maken.
Zie het voorstel voor Aan de slag met Databricks-groepen en -machtigingen voor een voorbeeld van het toewijzen van typische persona's aan machtigingen op werkruimteniveau.
Toegangsbeheerlijsten beheren met mappen
U kunt machtigingen voor werkruimteobjecten beheren door objecten toe te voegen aan mappen. Objecten in een map nemen alle machtigingsinstellingen van die map over. Een gebruiker met de machtiging CAN RUN voor een map heeft bijvoorbeeld DE MACHTIGING CAN RUN voor de waarschuwingen in die map.
Als u een gebruiker toegang grant tot een object in de map, kan de gebruiker de naam van de bovenliggende map bekijken, zelfs als de gebruiker geen machtigingen heeft voor de bovenliggende map. Een notitieblok met de naam test1.py bevindt zich bijvoorbeeld in een map met de naam Workflows. Als grant u een gebruiker kan lezen op test1.py en geen machtigingen voor Workflows, kan de gebruiker zien dat de bovenliggende map de naam Workflowsheeft. De gebruiker kan geen andere objecten in de Workflows map weergeven of openen, tenzij hij of zij machtigingen heeft gekregen.
Zie de werkruimtebrowser voor meer informatie over het ordenen van objecten in mappen.
AI/BI-dashboard-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN/UITVOEREN | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Dashboard en resultaten weergeven | x | x | x | |
| Interactie met widgets | x | x | x | |
| het dashboard Refresh | x | x | x | |
| Dashboard bewerken | x | x | ||
| Dashboard klonen | x | x | x | |
| Momentopname van dashboard publiceren | x | x | ||
| Machtigingen wijzigen | x | |||
| Dashboard verwijderen | x |
ACL's voor waarschuwingen
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN UITGEVOERD | KAN WORDEN BEHEERD |
|---|---|---|---|
| Zie in alert list | x | x | |
| Waarschuwing en resultaat weergeven | x | x | |
| Waarschuwingsuitvoering handmatig activeren | x | x | |
| Abonneren op meldingen | x | x | |
| Waarschuwing bewerken | x | ||
| Machtigingen wijzigen | x | ||
| Waarschuwing verwijderen | x |
Reken-ACL's
Belangrijk
Gebruikers met CAN ATTACH TO-machtigingen kunnen de serviceaccountsleutels in het log4j-bestand weergeven. Wees voorzichtig bij het verlenen van dit machtigingsniveau.
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEKOPPELD AAN | KAN OPNIEUW WORDEN OPGESTART | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Notebook koppelen aan berekening | x | x | x | |
| Spark-gebruikersinterface weergeven | x | x | x | |
| Metrische rekengegevens weergeven | x | x | x | |
| Rekenproces beëindigen | x | x | ||
| Rekenproces starten en opnieuw starten | x | x | ||
| Stuurprogrammalogboeken weergeven | x (zie opmerking) | |||
| Berekening bewerken | x | |||
| Bibliotheek koppelen aan berekening | x | |||
| Het formaat van de rekenkracht wijzigen | x | |||
| Machtigingen wijzigen | x |
Notitie
Geheimen worden niet bewerkt vanuit het Spark-stuurprogrammalogboek stdout en stderr de streams van een cluster. Als u gevoelige gegevens wilt beveiligen, kunnen spark-stuurprogrammalogboeken standaard alleen worden weergegeven door gebruikers met de machtiging CAN MANAGE voor de taak, de modus voor toegang van één gebruiker en clusters in de modus voor gedeelde toegang. Als u wilt toestaan dat gebruikers met de machtiging CAN ATTACH TO of CAN RESTART de logboeken op deze clusters kunnen bekijken, set de volgende Spark-configuratie-eigenschap in de clusterconfiguratie: spark.databricks.acl.needAdminPermissionToViewLogs false.
In clusters in de modus Geen isolatie voor gedeelde toegang kunnen de Spark-stuurprogrammalogboeken worden bekeken door gebruikers met de machtiging CAN ATTACH TO of CAN MANAGE. **
Naar limit voor wie de logboeken kan lezen alleen voor gebruikers met de bevoegdheid 'Beheren', setspark.databricks.acl.needAdminPermissionToViewLogs naar true.
Bekijk Spark-configuratie voor meer informatie over het toevoegen van Spark-eigenschappen aan een clusterconfiguratie.
Verouderde dashboard-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Bekijk in dashboard list | x | x | x | x | |
| Dashboard en resultaten weergeven | x | x | x | x | |
| Refresh queryresultaten in het dashboard, of kies een andere parameters | x | x | x | ||
| Dashboard bewerken | x | x | |||
| Machtigingen wijzigen | x | ||||
| Dashboard verwijderen | x |
Voor het bewerken van een verouderd dashboard is de instelling Uitvoeren als viewer delen vereist. Zie Refresh gedrag en uitvoeringscontext.
Delta Live Tables pijplijn ACLs
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN WORDEN UITGEVOERD | KAN WORDEN BEHEERD | IS EIGENAAR |
|---|---|---|---|---|---|
| Pijplijndetails en list-pijplijn weergeven | x | x | x | x | |
| Spark-gebruikersinterface en logboeken van stuurprogramma's weergeven | x | x | x | x | |
| Een pijplijn starten en stoppen update | x | x | x | ||
| Pijplijnclusters rechtstreeks stoppen | x | x | x | ||
| Pijplijninstellingen bewerken | x | x | |||
| De pijplijn verwijderen | x | x | |||
| Uitvoeringen en experimenten opschonen | x | x | |||
| Machtigingen wijzigen | x | x |
functie-tables ACL's
In dit table wordt beschreven hoe u de toegang tot functie-tables beheert in werkruimten die niet zijn ingeschakeld voor Unity Catalog. Als uw werkruimte is ingeschakeld voor Unity Catalog, gebruikt u in plaats daarvan Unity Catalog bevoegdheden.
Notitie
- Het toegangsbeheer van Feature Store regelt geen toegang tot de onderliggende Delta table, die wordt beheerd door table-toegangsbeheer.
- Voor meer informatie over machtigingen voor werkruimtefuncties table, zie Toegang tot functie tables beheren in het Werkruimte Functies Archief (verouderd).
| Vermogen | KAN METAGEGEVENS WEERGEVEN | KAN METAGEGEVENS BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|
| Lezen van functie table | X | X | X |
| Zoekfunctie table | X | X | X |
| Functie table publiceren op de online winkel | X | X | X |
| Functies schrijven naar kenmerk table | X | X | |
| Update beschrijving van functie-table | X | X | |
| Machtigingen wijzigen | X | ||
| Functie verwijderen table | X |
Bestands-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Bestand lezen | x | x | x | x | |
| Opmerking | x | x | x | x | |
| Bestand bijvoegen en loskoppelen | x | x | x | ||
| Bestand interactief uitvoeren | x | x | x | ||
| Bestand bewerken | x | x | |||
| Machtigingen wijzigen | x |
Map-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN BEWERKEN | KAN WORDEN UITGEVOERD | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| List objecten in map | x | x | x | x | x |
| Objecten in map weergeven | x | x | x | x | |
| Items klonen en exporteren | x | x | x | ||
| Objecten uitvoeren in de map | x | x | |||
| Items maken, importeren en verwijderen | x | ||||
| Items verplaatsen en de naam ervan wijzigen | x | ||||
| Machtigingen wijzigen | x |
Genie-ruimte-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN/UITVOEREN | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Zie in Genie Space list | x | x | x | x |
| Vragen stellen over Genie | x | x | x | |
| Feedback geven | x | x | x | |
| Genie-instructies toevoegen of bewerken | x | x | ||
| Voorbeeldvragen toevoegen of bewerken | x | x | ||
| Voeg toe of remove opgenomen tables | x | x | ||
| Een ruimte bewaken | x | |||
| Machtigingen wijzigen | x | |||
| Ruimte verwijderen | x | |||
| Gesprekken van andere gebruikers weergeven | x |
Git-map-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| List assets in een map | x | x | x | x | x |
| Assets in een map weergeven | x | x | x | x | |
| Assets klonen en exporteren | x | x | x | x | |
| Uitvoerbare assets uitvoeren in map | x | x | x | ||
| Assets in een map bewerken en de naam ervan wijzigen | x | x | |||
| Een vertakking maken in een map | x | ||||
| Een vertakking naar een map ophalen of pushen | x | ||||
| Assets maken, importeren, verwijderen en verplaatsen | x | ||||
| Machtigingen wijzigen | x |
Taak-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN UITVOERING BEHEREN | IS EIGENAAR | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Taakdetails en -instellingen weergeven | x | x | x | x | |
| Resultaten weergeven | x | x | x | x | |
| Spark-gebruikersinterface, logboeken van een taakuitvoering weergeven | x | x | x | ||
| Nu uitvoeren | x | x | x | ||
| Uitvoering annuleren | x | x | x | ||
| Taakinstellingen bewerken | x | x | |||
| Taak verwijderen | x | x | |||
| Machtigingen wijzigen | x | x |
MLflow-experiment-ACL's
MLflow-experiment-ACL's zijn verschillend voor notebookexperimenten en werkruimteexperimenten. Notebookexperimenten kunnen niet onafhankelijk van het notitieblok worden beheerd dat ze heeft gemaakt, zodat de machtigingen vergelijkbaar zijn met notitieblokmachtigingen. Zie Trainingsuitvoeringen organiseren met MLflow-experimentenvoor meer informatie over de twee typen experimenten.
ACLs voor notebook-experimenten
Als u deze machtigingen wijzigt, worden ook de machtigingen voor het notitieblok gewijzigd dat overeenkomt met het experiment.
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Notebook weergeven | x | x | x | x | |
| Opmerking op notitieboek | x | x | x | x | |
| Notebook koppelen/loskoppelen om te berekenen | x | x | x | ||
| Opdrachten uitvoeren in het notebook | x | x | x | ||
| Notitieblok bewerken | x | x | |||
| Machtigingen wijzigen | x |
ACL's voor werkruimteexperimenten
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Experiment weergeven | x | x | x | |
| Logboekregistraties van de experimentuitvoeringen | x | x | ||
| Het experiment bewerken | x | x | ||
| Het experiment verwijderen | x | |||
| Machtigingen wijzigen | x |
MLflow-model-ACL's
In dit table wordt beschreven hoe u de toegang tot geregistreerde modellen beheert in werkruimten die niet zijn ingeschakeld voor Unity Catalog. Als uw werkruimte is ingeschakeld voor Unity Catalog, gebruikt u in plaats daarvan Unity Catalog bevoegdheden.
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN BEWERKEN | KAN FASERINGSVERSIES BEHEREN | KAN PRODUCTIEVERSIES BEHEREN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|---|
| Modeldetails, versies, faseovergangsaanvragen, activiteiten en download-URI's voor artefacten weergeven | x | x | x | x | x | |
| De overgang van een modelversiefase aanvragen | x | x | x | x | x | |
| Een versie toevoegen aan een model | x | x | x | x | ||
| beschrijving van Update model en versie | x | x | x | x | ||
| Tags toevoegen of bewerken | x | x | x | x | ||
| Overgangsmodelversie tussen fasen | x | x | x | |||
| Een overgangsaanvraag goedkeuren | x | x | x | |||
| Een overgangsaanvraag annuleren | x | |||||
| Naam van model wijzigen | x | |||||
| Machtigingen wijzigen | x | |||||
| Model- en modelversies verwijderen | x |
Notebook-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Cellen weergeven | x | x | x | x | |
| Opmerking | x | x | x | x | |
| Uitvoeren met behulp van %run- of notebookwerkstromen | x | x | x | x | |
| Notitieblokken koppelen en loskoppelen | x | x | x | ||
| Opdrachten uitvoeren | x | x | x | ||
| Cellen bewerken | x | x | |||
| Machtigingen wijzigen | x |
Pool-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEKOPPELD AAN | KAN WORDEN BEHEERD |
|---|---|---|---|
| Cluster koppelen aan pool | x | x | |
| Pool verwijderen | x | ||
| Groep bewerken | x | ||
| Machtigingen wijzigen | x |
Query-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Eigen query's weergeven | x | x | x | x | |
| Bekijk query list | x | x | x | x | |
| Querytekst weergeven | x | x | x | x | |
| Queryresultaat weergeven | x | x | x | x | |
| Refresh queryresultaat (of kies een andere parameters) | x | x | x | ||
| De query opnemen in een dashboard | x | x | x | ||
| Querytekst bewerken | x | x | |||
| SQL Warehouse of gegevensbron wijzigen | x | ||||
| Machtigingen wijzigen | x | ||||
| Query verwijderen | x |
Geheime ACL's
| Vermogen | LEZEN | SCHRIJVEN | BEHEREN |
|---|---|---|---|
| Het geheime bereik lezen | x | x | x |
| List geheimen onder de loep | x | x | x |
| Schrijven naar het geheime bereik | x | x | |
| Machtigingen wijzigen | x |
Eindpunt-ACL's leveren
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN QUERY'S UITVOEREN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Get eindpunt | x | x | x | |
| List eindpunt | x | x | x | |
| Query-eindpunt | x | x | ||
| Update-eindpuntconfiguratie | x | |||
| Eindpunt verwijderen | x | |||
| Machtigingen wijzigen | x |
SQL Warehouse-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEBRUIKT | KAN BEWAKEN | IS EIGENAAR | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Het magazijn starten | x | x | x | x | |
| Magazijndetails weergeven | x | x | x | x | |
| Magazijnquery's weergeven | x | x | x | ||
| Query's uitvoeren | x | x | x | x | |
| Tabblad Bewaking van magazijn weergeven | x | x | x | ||
| Het magazijn stoppen | x | x | |||
| Het magazijn verwijderen | x | x | |||
| Het magazijn bewerken | x | x | |||
| Machtigingen wijzigen | x | x |
Eindpunt-ACL's voor vectorzoekopdrachten
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEMAAKT | KAN WORDEN GEBRUIKT | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Get eindpunt | x | x | x | |
| List eindpunten | x | x | x | |
| Eindpunt maken | x | x | x | |
| Eindpunt gebruiken (index maken) | x | x | ||
| Eindpunt verwijderen | x | |||
| Machtigingen wijzigen | x |