Udostępnij za pośrednictwem

Listy kontroli dostępu

  • Artykuł

W tym artykule opisano szczegółowe informacje o uprawnieniach dostępnych dla różnych obiektów obszaru roboczego.

Uwaga

Kontrola dostępu wymaga planu Premium.

Ustawienia kontroli dostępu są domyślnie wyłączone w obszarach roboczych uaktualnionych z planu standardowego do planu Premium. Po włączeniu ustawienia kontroli dostępu nie można go wyłączyć. Aby uzyskać więcej informacji, zobacz Listy kontroli dostępu można włączyć w uaktualnionych obszarach roboczych.

Omówienie list kontroli dostępu

W usłudze Azure Databricks możesz użyć list kontroli dostępu (ACL), aby skonfigurować uprawnienia dostępu do obiektów na poziomie obszaru roboczego. Administratorzy obszaru roboczego mają uprawnienie CAN MANAGE dla wszystkich obiektów w obszarze roboczym, co daje im możliwość zarządzania uprawnieniami do wszystkich obiektów w swoich obszarach roboczych. Użytkownicy mają automatycznie uprawnienie CAN MANAGE dla tworzonych obiektów.

Aby zapoznać się z przykładem mapowania typowych osób na uprawnienia na poziomie obszaru roboczego, zobacz Propozycje dotyczące rozpoczynania pracy z grupami i uprawnieniami usługi Databricks.

Zarządzanie listami kontroli dostępu za pomocą folderów

Uprawnienia obiektu obszaru roboczego można zarządzać, dodając obiekty do folderów. Obiekty w folderze dziedziczą wszystkie ustawienia uprawnień tego folderu. Na przykład użytkownik, który ma uprawnienie CAN RUN w folderze, ma uprawnienie CAN RUN dla alertów w tym folderze.

Jeśli przyznasz użytkownikowi dostęp do obiektu wewnątrz folderu, może wyświetlić nazwę folderu nadrzędnego, nawet jeśli nie mają uprawnień do folderu nadrzędnego. Na przykład notes o nazwie test1.py znajduje się w folderze o nazwie Workflows. Jeśli przyznasz użytkownikowi uprawnienia CAN READ on test1.py i nie masz uprawnień w Workflowsusłudze , użytkownik będzie mógł zobaczyć, że folder nadrzędny ma nazwę Workflows. Użytkownik nie może wyświetlić ani uzyskać dostępu do żadnych innych obiektów w Workflows folderze, chyba że udzielono im uprawnień.

Aby dowiedzieć się więcej o organizowaniu obiektów w folderach, zobacz Przeglądarka obszarów roboczych.

Listy AI/BI pulpitu nawigacyjnego

Zdolność BRAK UPRAWNIEŃ MOŻE WYŚWIETLAĆ/MOŻNA URUCHOMIĆ MOŻE EDYTOWAĆ MOŻE ZARZĄDZAĆ
Wyświetlanie pulpitu nawigacyjnego i wyników x x x
Interakcja z widżetami x x x
Odświeżanie pulpitu nawigacyjnego x x x
Edytowanie pulpitu nawigacyjnego x x
Klonowanie pulpitu nawigacyjnego x x x
Publikowanie migawki pulpitu nawigacyjnego x x
Modyfikuj uprawnienia x
Usuwanie pulpitu nawigacyjnego x

Listy ACL alertów

Zdolność BRAK UPRAWNIEŃ MOŻNA URUCHOMIĆ MOŻE ZARZĄDZAĆ
Zobacz na liście alertów x x
Wyświetlanie alertu i wyniku x x
Ręczne wyzwalanie uruchomienia alertu x x
Subskrybuj powiadomienia x x
Edytuj alert x
Modyfikuj uprawnienia x
Usuwanie alertu x

Listy ACL zasobów obliczeniowych

Ważne

Użytkownicy z uprawnieniami CAN ATTACH TO mogą wyświetlać klucze konta usługi w pliku log4j. Podczas udzielania tego poziomu uprawnień należy zachować ostrożność.

Zdolność BRAK UPRAWNIEŃ MOŻE DOŁĄCZAĆ DO MOŻE PONOWNIE URUCHOMIĆ MOŻE ZARZĄDZAĆ
Dołączanie notesu do obliczeń x x x
Wyświetl interfejs użytkownika platformy Spark x x x
Wyświetlanie metryk obliczeniowych x x x
Kończenie obliczeń x x
Uruchamianie i ponowne uruchamianie obliczeń x x
Wyświetlanie dzienników sterowników x (patrz uwaga)
Edytowanie obliczeń x
Dołączanie biblioteki do obliczeń x
Zmienianie rozmiaru zasobów obliczeniowych x
Modyfikuj uprawnienia x

Uwaga

Wpisy tajne nie są redagowane z dziennika stdout i stderr strumieni sterowników spark klastra. Aby chronić dane poufne, domyślnie dzienniki sterowników platformy Spark są widoczne tylko przez użytkowników z uprawnieniami CAN MANAGE w zadaniu, trybie dostępu pojedynczego użytkownika i klastrach trybu dostępu współdzielonego. Aby zezwolić użytkownikom z uprawnieniem CAN ATTACH TO lub CAN RESTART, aby wyświetlić dzienniki w tych klastrach, ustaw następującą właściwość konfiguracji platformy Spark w konfiguracji klastra: spark.databricks.acl.needAdminPermissionToViewLogs false.

W przypadku klastrów z trybem dostępu wspólnego bez izolacji dzienniki sterowników platformy Spark mogą być wyświetlane przez użytkowników z uprawnieniem CAN ATTACH TO lub CAN MANAGE. Aby ograniczyć, kto może odczytywać dzienniki tylko użytkownikom z uprawnieniami CAN MANAGE, ustaw wartość spark.databricks.acl.needAdminPermissionToViewLogs true.

Zobacz Konfiguracja platformy Spark, aby dowiedzieć się, jak dodać właściwości platformy Spark do konfiguracji klastra.

Starsze listy ACL pulpitu nawigacyjnego

Zdolność BRAK UPRAWNIEŃ MOŻE WYŚWIETLAĆ MOŻNA URUCHOMIĆ MOŻE EDYTOWAĆ MOŻE ZARZĄDZAĆ
Zobacz na liście pulpitów nawigacyjnych x x x x
Wyświetlanie pulpitu nawigacyjnego i wyników x x x x
Odśwież wyniki zapytania na pulpicie nawigacyjnym (lub wybierz inne parametry) x x x
Edytowanie pulpitu nawigacyjnego x x
Modyfikuj uprawnienia x
Usuwanie pulpitu nawigacyjnego x

Edytowanie starszego pulpitu nawigacyjnego wymaga ustawienia Uruchom jako osoby przeglądającego . Zobacz Odświeżanie zachowania i kontekstu wykonywania.

Listy ACL potoku tabel na żywo usługi Delta

Zdolność BRAK UPRAWNIEŃ MOŻE WYŚWIETLAĆ MOŻNA URUCHOMIĆ MOŻE ZARZĄDZAĆ JEST WŁAŚCICIELEM
Wyświetlanie szczegółów potoku i potoku listy x x x x
Wyświetlanie dzienników interfejsu użytkownika platformy Spark i sterowników x x x x
Uruchamianie i zatrzymywanie aktualizacji potoku x x x
Zatrzymywanie klastrów potoków bezpośrednio x x x
Edytowanie ustawień potoku x x
Usuwanie potoku x x
Przeczyszczanie przebiegów i eksperymentów x x
Modyfikuj uprawnienia x x

Listy ACL tabel funkcji

W tej tabeli opisano sposób kontrolowania dostępu do tabel funkcji w obszarach roboczych, które nie są włączone dla wykazu aparatu Unity. Jeśli obszar roboczy jest włączony dla wykazu aparatu Unity, zamiast tego użyj uprawnień wykazu aparatu Unity.

Uwaga

Zdolność MOŻE WYŚWIETLAĆ METADANE MOŻE EDYTOWAĆ METADANE MOŻE ZARZĄDZAĆ
Odczytywanie tabeli funkcji X X X
Tabela funkcji wyszukiwania X X X
Publikowanie tabeli funkcji w sklepie online X X X
Pisanie funkcji w tabeli funkcji X X
Aktualizowanie opisu tabeli funkcji X X
Modyfikuj uprawnienia X
Usuwanie tabeli funkcji X

Listy ACL plików

Zdolność BRAK UPRAWNIEŃ MOŻE ODCZYTYWAĆ MOŻNA URUCHOMIĆ MOŻE EDYTOWAĆ MOŻE ZARZĄDZAĆ
Odczyt pliku x x x x
Komentarz x x x x
Dołączanie i odłączanie pliku x x x
Interakcyjne uruchamianie pliku x x x
Edytuj plik x x
Modyfikuj uprawnienia x

Listy ACL folderów

Zdolność BRAK UPRAWNIEŃ MOŻE ODCZYTYWAĆ MOŻE EDYTOWAĆ MOŻNA URUCHOMIĆ MOŻE ZARZĄDZAĆ
Wyświetlanie listy obiektów w folderze x x x x x
Wyświetlanie obiektów w folderze x x x x
Klonowanie i eksportowanie elementów x x x
Uruchamianie obiektów w folderze x x
Tworzenie, importowanie i usuwanie elementów x
Przenoszenie i zmienianie nazw elementów x
Modyfikuj uprawnienia x

Listy ACL obszaru Genie

Zdolność BRAK UPRAWNIEŃ MOŻE WYŚWIETLAĆ/MOŻNA URUCHOMIĆ MOŻE EDYTOWAĆ MOŻE ZARZĄDZAĆ
Zobacz na liście obszaru Genie x x x x
Zadawanie pytań dotyczących genie x x x
Prześlij opinię na temat odpowiedzi x x x
Dodawanie lub edytowanie instrukcji genie x x
Dodawanie lub edytowanie przykładowych pytań x x
Dodawanie lub usuwanie dołączonych tabel x x
Monitorowanie miejsca x
Modyfikuj uprawnienia x
Usuń spację x
Wyświetlanie konwersacji innych użytkowników x

Listy ACL folderów Git

Zdolność BRAK UPRAWNIEŃ MOŻE ODCZYTYWAĆ MOŻNA URUCHOMIĆ MOŻE EDYTOWAĆ MOŻE ZARZĄDZAĆ
Wyświetlanie listy zasobów w folderze x x x x x
Wyświetlanie zasobów w folderze x x x x
Klonowanie i eksportowanie zasobów x x x x
Uruchamianie zasobów wykonywalnych w folderze x x x
Edytowanie i zmienianie nazw zasobów w folderze x x
Tworzenie gałęzi w folderze x
Ściąganie lub wypychanie gałęzi do folderu x
Tworzenie, importowanie, usuwanie i przenoszenie zasobów x
Modyfikuj uprawnienia x

Listy ACL zadań

Zdolność BRAK UPRAWNIEŃ MOŻE WYŚWIETLAĆ MOŻE ZARZĄDZAĆ PRZEBIEGIEM JEST WŁAŚCICIELEM MOŻE ZARZĄDZAĆ
Wyświetlanie szczegółów i ustawień zadania x x x x
Wyświetlanie wyników x x x x
Wyświetlanie interfejsu użytkownika platformy Spark, dzienników przebiegu zadania x x x
Uruchom teraz x x x
Anuluj przebieg x x x
Edytowanie ustawień zadania x x
Usuwanie zadania x x
Modyfikuj uprawnienia x x

Listy ACL eksperymentu MLflow

Zdolność BRAK UPRAWNIEŃ MOŻE ODCZYTYWAĆ MOŻE EDYTOWAĆ MOŻE ZARZĄDZAĆ
Wyświetlanie przebiegów porównania wyszukiwania informacji przebiegów x x x
Wyświetlanie, wyświetlanie i pobieranie artefaktów przebiegu x x x
Tworzenie, usuwanie i przywracanie przebiegów x x
Parametry przebiegu dziennika, metryki, tagi x x
Artefakty uruchamiania dziennika x x
Edytowanie tagów eksperymentu x x
Przeczyszczanie przebiegów i eksperymentów x
Modyfikuj uprawnienia x

Listy ACL modelu MLflow

W tej tabeli opisano sposób kontrolowania dostępu do zarejestrowanych modeli w obszarach roboczych, które nie są włączone dla wykazu aparatu Unity. Jeśli obszar roboczy jest włączony dla wykazu aparatu Unity, zamiast tego użyj uprawnień wykazu aparatu Unity.

Zdolność BRAK UPRAWNIEŃ MOŻE ODCZYTYWAĆ MOŻE EDYTOWAĆ MOŻE ZARZĄDZAĆ WERSJAMI PRZEJŚCIOWYMI MOŻE ZARZĄDZAĆ WERSJAMI PRODUKCYJNYMI MOŻE ZARZĄDZAĆ
Wyświetlanie szczegółów modelu, wersji, żądań przejścia etapu, działań i identyfikatorów URI pobierania artefaktów x x x x x
Żądanie przejścia etapu wersji modelu x x x x x
Dodawanie wersji do modelu x x x x
Aktualizowanie modelu i opisu wersji x x x x
Dodawanie lub edytowanie tagów x x x x
Przenoszenie wersji modelu między etapami x x x
Zatwierdzanie żądania przeniesienia x x x
Anulowanie żądania przeniesienia x
Zmienianie nazwy modelu x
Modyfikuj uprawnienia x
Usuwanie wersji modelu i modelu x

Listy ACL notesu

Zdolność BRAK UPRAWNIEŃ MOŻE ODCZYTYWAĆ MOŻNA URUCHOMIĆ MOŻE EDYTOWAĆ MOŻE ZARZĄDZAĆ
Wyświetlanie komórek x x x x
Komentarz x x x x
Uruchamianie za pomocą przepływów pracy %run or notebook x x x x
Dołączanie i odłączanie notesów x x x
Uruchamianie poleceń x x x
Edytuj komórki x x
Modyfikuj uprawnienia x

Listy ACL puli

Zdolność BRAK UPRAWNIEŃ MOŻE DOŁĄCZAĆ DO MOŻE ZARZĄDZAĆ
Dołączanie klastra do puli x x
Usuwanie puli x
Edytowanie puli x
Modyfikuj uprawnienia x

Listy ACL zapytań

Zdolność BRAK UPRAWNIEŃ MOŻE WYŚWIETLAĆ MOŻNA URUCHOMIĆ MOŻE EDYTOWAĆ MOŻE ZARZĄDZAĆ
Wyświetlanie własnych zapytań x x x x
Zobacz na liście zapytań x x x x
Wyświetlanie tekstu zapytania x x x x
Wyświetl wynik zapytania x x x x
Odśwież wynik zapytania (lub wybierz inne parametry) x x x
Dołączanie zapytania do pulpitu nawigacyjnego x x x
Edytowanie tekstu zapytania x x
Zmienianie usługi SQL Warehouse lub źródła danych x
Modyfikuj uprawnienia x
Usuń zapytanie x

Tajne listy ACL

Zdolność CZYTAJ PISAĆ ZARZĄDZAJ
Odczytywanie zakresu wpisów tajnych x x x
Wyświetlanie listy wpisów tajnych w zakresie x x x
Zapisywanie w zakresie wpisu tajnego x x
Modyfikuj uprawnienia x

Obsługa list ACL punktów końcowych

Zdolność BRAK UPRAWNIEŃ MOŻE WYŚWIETLAĆ ZAPYTANIE CAN MOŻE ZARZĄDZAĆ
Uzyskiwanie punktu końcowego x x x
Wyświetlanie listy punktów końcowych x x x
Punkt końcowy zapytania x x
Aktualizowanie konfiguracji punktu końcowego x
Usuwanie punktu końcowego x
Modyfikuj uprawnienia x

Listy ACL usługi SQL Warehouse

Zdolność BRAK UPRAWNIEŃ MOŻE UŻYWAĆ MOŻE MONITOROWAĆ JEST WŁAŚCICIELEM MOŻE ZARZĄDZAĆ
Uruchamianie magazynu x x x x
Wyświetlanie szczegółów magazynu x x x x
Wyświetlanie zapytań magazynu x x x
Uruchamianie zapytań x x x x
Wyświetlanie karty monitorowania magazynu x x x
Zatrzymywanie magazynu x x
Usuwanie magazynu x x
Edytowanie magazynu x x
Modyfikuj uprawnienia x x

Listy ACL punktu końcowego wyszukiwania wektorowego

Zdolność BRAK UPRAWNIEŃ MOŻE UTWORZYĆ MOŻE UŻYWAĆ MOŻE ZARZĄDZAĆ
Uzyskiwanie punktu końcowego x x x
Wyświetlanie listy punktów końcowych x x x
Tworzenie punktu końcowego x x x
Korzystanie z punktu końcowego (tworzenie indeksu) x x
Usuwanie punktu końcowego x
Modyfikuj uprawnienia x