Listy kontroli dostępu
W tym artykule opisano szczegółowe informacje o uprawnieniach dostępnych dla różnych obiektów obszaru roboczego.
Uwaga
Kontrola dostępu wymaga planu Premium.
Ustawienia kontroli dostępu są domyślnie wyłączone w obszarach roboczych uaktualnionych z planu standardowego do planu Premium. Po włączeniu ustawienia kontroli dostępu nie można go wyłączyć. Aby uzyskać więcej informacji, zobacz Listy kontroli dostępu można włączyć w uaktualnionych obszarach roboczych.
Omówienie list kontroli dostępu
W usłudze Azure Databricks możesz użyć list kontroli dostępu (ACL), aby skonfigurować uprawnienia dostępu do obiektów na poziomie obszaru roboczego. Administratorzy obszaru roboczego mają uprawnienie CAN MANAGE dla wszystkich obiektów w obszarze roboczym, co daje im możliwość zarządzania uprawnieniami do wszystkich obiektów w swoich obszarach roboczych. Użytkownicy mają automatycznie uprawnienie CAN MANAGE dla tworzonych obiektów.
Aby zapoznać się z przykładem mapowania typowych osób na uprawnienia na poziomie obszaru roboczego, zobacz Propozycje dotyczące rozpoczynania pracy z grupami i uprawnieniami usługi Databricks.
Zarządzanie listami kontroli dostępu za pomocą folderów
Można zarządzać uprawnieniami obiektów w obszarze roboczym, dodając je do folderów. Obiekty w folderze dziedziczą wszystkie ustawienia uprawnień tego folderu. Na przykład użytkownik, który ma uprawnienie CAN RUN w folderze, ma uprawnienie CAN RUN dla alertów w tym folderze.
Jeśli przyznasz użytkownikowi dostęp do obiektu wewnątrz folderu, może wyświetlić nazwę folderu nadrzędnego, nawet jeśli nie mają uprawnień do folderu nadrzędnego. Na przykład notes o nazwie test1.py znajduje się w folderze o nazwie Workflows. Jeśli przyznasz użytkownikowi uprawnienia CAN READ na test1.py i brak uprawnień na Workflows, użytkownik będzie mógł zobaczyć nazwę folderu nadrzędnego Workflows. Użytkownik nie może wyświetlić ani uzyskać dostępu do żadnych innych obiektów w Workflows folderze, chyba że udzielono im uprawnień.
Aby dowiedzieć się więcej o organizowaniu obiektów w folderach, zobacz Przeglądarka obszarów roboczych.
Listy Kontroli Dostępu (ACL) dla pulpitu AI/BI
| Zdolność | BRAK UPRAWNIEŃ | MOŻNA WYŚWIETLAĆ/MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|
| Wyświetlanie pulpitu nawigacyjnego i wyników | x | x | x | |
| Interakcja z widżetami | x | x | x | |
| Odświeżanie pulpitu nawigacyjnego | x | x | x | |
| Edytowanie pulpitu nawigacyjnego | x | x | ||
| Klonowanie pulpitu nawigacyjnego | x | x | x | |
| Opublikuj migawkę pulpitu nawigacyjnego | x | x | ||
| Modyfikuj uprawnienia | x | |||
| Usuwanie pulpitu nawigacyjnego | x |
Listy ACL alertów
| Zdolność | BRAK UPRAWNIEŃ | MOŻNA URUCHOMIĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|
| Zobacz na liście alertów | x | x | |
| Wyświetlanie alertu i wyniku | x | x | |
| Ręczne wyzwalanie uruchomienia alertu | x | x | |
| Subskrybuj powiadomienia | x | x | |
| Edytuj alert | x | ||
| Modyfikuj uprawnienia | x | ||
| Usuwanie alertu | x |
ACL-e obliczeniowe
Ważne
Użytkownicy z uprawnieniami CAN ATTACH TO mogą wyświetlać klucze konta usługi w pliku log4j. Podczas udzielania tego poziomu uprawnień należy zachować ostrożność.
| Zdolność | BRAK UPRAWNIEŃ | MOŻE BYĆ DOŁĄCZANY DO | MOŻE PONOWNIE URUCHOMIĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|
| Dołączanie notesu do obliczeń | x | x | x | |
| Wyświetl interfejs użytkownika platformy Spark | x | x | x | |
| Wyświetlanie metryk obliczeniowych | x | x | x | |
| Kończenie obliczeń | x | x | ||
| Uruchamianie i ponowne uruchamianie obliczeń | x | x | ||
| Wyświetlanie dzienników sterowników | x (patrz uwaga) | |||
| Edytowanie obliczeń | x | |||
| Dołącz bibliotekę do obliczeń | x | |||
| Zmienianie rozmiaru mocy obliczeniowej | x | |||
| Modyfikuj uprawnienia | x |
Uwaga
Tajne dane nie są redagowane z dziennika sterowników Spark i strumieni klastra. Aby chronić dane poufne, domyślnie dzienniki sterowników platformy Spark są widoczne tylko przez użytkowników z uprawnieniami CAN MANAGE w zadaniu, trybie dedykowanym dostępu i klastrach trybu dostępu standardowego. Aby zezwolić użytkownikom z uprawnieniem CAN ATTACH TO lub CAN RESTART, aby wyświetlić dzienniki w tych klastrach, ustaw następującą właściwość konfiguracji platformy Spark w konfiguracji klastra: spark.databricks.acl.needAdminPermissionToViewLogs false.
W przypadku klastrów z trybem dostępu wspólnego bez izolacji dzienniki sterowników platformy Spark mogą być wyświetlane przez użytkowników z uprawnieniem CAN ATTACH TO lub CAN MANAGE. Aby ograniczyć odczytywanie dzienników tylko przez użytkowników z uprawnieniem CAN MANAGE, ustaw spark.databricks.acl.needAdminPermissionToViewLogs na true.
Zobacz Konfiguracja platformy Spark, aby dowiedzieć się, jak dodać właściwości platformy Spark do konfiguracji klastra.
Starsze listy ACL pulpitu nawigacyjnego
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ | MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Zobacz na liście pulpitów nawigacyjnych | x | x | x | x | |
| Wyświetlanie pulpitu nawigacyjnego i wyników | x | x | x | x | |
| Odśwież wyniki zapytania na pulpicie nawigacyjnym (lub wybierz inne parametry) | x | x | x | ||
| Edytowanie pulpitu nawigacyjnego | x | x | |||
| Modyfikuj uprawnienia | x | ||||
| Usuwanie pulpitu nawigacyjnego | x |
Edytowanie starszego pulpitu nawigacyjnego wymaga ustawienia Uruchom jako przeglądający. Zobacz Odświeżanie zachowania i kontekstu wykonywania.
listy ACL potoku DLT
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ | MOŻNA URUCHOMIĆ | MOŻE ZARZĄDZAĆ | JEST WŁAŚCICIELEM |
|---|---|---|---|---|---|
| Wyświetl szczegóły potoku i pokaż listę potoków | x | x | x | x | |
| Wyświetl interfejs użytkownika Spark i logi driverów | x | x | x | x | |
| Uruchamianie i zatrzymywanie aktualizacji rurociągu | x | x | x | ||
| Zatrzymaj klastry rurociągów bezpośrednio | x | x | x | ||
| Edytowanie ustawień potoku | x | x | |||
| Usuń potok | x | x | |||
| Czyszczenie przebiegów i eksperymentów | x | x | |||
| Modyfikuj uprawnienia | x | x |
Listy ACL tabel funkcji
W tej tabeli opisano sposób kontrolowania dostępu do tabel cech w obszarach roboczych bez obsługi katalogu Unity. Jeśli obszar roboczy jest włączony dla Unity Catalog, zamiast tego użyj uprawnień Unity Catalog.
Uwaga
- Kontrola dostępu do magazynu funkcji nie zarządza dostępem do bazowej tabeli Delta, który podlega kontroli dostępu do tabel.
- Aby uzyskać więcej informacji na temat uprawnień do tabel funkcji w obszarze roboczym, zobacz Kontrolowanie dostępu do tabel funkcji w Magazynie Funkcji Obszaru Roboczego (starsza wersja).
| Zdolność | MOŻE WYŚWIETLAĆ METADANE | MOŻE EDYTOWAĆ METADANE | MOŻE ZARZĄDZAĆ |
|---|---|---|---|
| Odczytywanie tabeli funkcji | X | X | X |
| Tabela funkcji wyszukiwania | X | X | X |
| Publikowanie tabeli funkcji w sklepie online | X | X | X |
| Zapisz funkcje do tabeli funkcji | X | X | |
| Aktualizowanie opisu tabeli funkcji | X | X | |
| Modyfikuj uprawnienia | X | ||
| Usuwanie tabeli funkcji | X |
ACL plików
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻE DZIAŁAĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Odczyt pliku | x | x | x | x | |
| Komentarz | x | x | x | x | |
| Dołączanie i odłączanie pliku | x | x | x | ||
| Interakcyjne uruchamianie pliku | x | x | x | ||
| Edytuj plik | x | x | |||
| Modyfikuj uprawnienia | x |
Listy ACL folderów
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻE EDYTOWAĆ | MOŻNA URUCHOMIĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Wyświetl listę obiektów w folderze | x | x | x | x | x |
| Wyświetlanie obiektów w folderze | x | x | x | x | |
| Klonowanie i eksportowanie elementów | x | x | x | ||
| Uruchamianie obiektów w folderze | x | x | |||
| Tworzenie, importowanie i usuwanie elementów | x | ||||
| Przenoszenie i zmienianie nazw elementów | x | ||||
| Modyfikuj uprawnienia | x |
Listy ACL obszaru Genie
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ/MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|
| Zobacz na liście obszaru Genie | x | x | x | x |
| Zadawaj pytania Genie | x | x | x | |
| Podaj opinię na temat odpowiedzi | x | x | x | |
| Dodaj lub edytuj instrukcje Genie | x | x | ||
| Dodawanie lub edytowanie przykładowych pytań | x | x | ||
| Dodawanie lub usuwanie dołączonych tabel | x | x | ||
| Monitorowanie miejsca | x | |||
| Modyfikuj uprawnienia | x | |||
| Usuń spację | x | |||
| Wyświetlanie konwersacji innych użytkowników | x | x |
Listy ACL folderów Git
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻE DZIAŁAĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Wyświetlanie listy zasobów w folderze | x | x | x | x | x |
| Wyświetlanie zasobów w folderze | x | x | x | x | |
| Klonowanie i eksportowanie zasobów | x | x | x | x | |
| Uruchamianie zasobów wykonywalnych w folderze | x | x | x | ||
| Edytowanie i zmienianie nazw zasobów w folderze | x | x | |||
| Tworzenie gałęzi w folderze | x | ||||
| Ściąganie lub wypychanie gałęzi do folderu | x | ||||
| Tworzenie, importowanie, usuwanie i przenoszenie zasobów | x | ||||
| Modyfikuj uprawnienia | x |
Listy ACL zadań
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ | MOŻE ZARZĄDZAĆ PRZEBIEGIEM | JEST WŁAŚCICIELEM | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Wyświetlanie szczegółów i ustawień zadania | x | x | x | x | |
| Wyświetlanie wyników | x | x | x | x | |
| Wyświetlanie interfejsu użytkownika platformy Spark, dzienników przebiegu zadania | x | x | x | ||
| Biegnij teraz | x | x | x | ||
| Anuluj uruchomienie | x | x | x | ||
| Edytowanie ustawień zadania | x | x | |||
| Usuwanie zadania | x | x | |||
| Modyfikuj uprawnienia | x | x |
Listy ACL eksperymentu MLflow
Uprawnienia ACL dla eksperymentów w MLflow różnią się dla eksperymentów prowadzonych w notebookach i eksperymentów w przestrzeni roboczej. Eksperymenty w notesie nie mogą być zarządzane samodzielnie od notesu, który je utworzył, więc uprawnienia są podobne do uprawnień notesu. Aby dowiedzieć się więcej o dwóch typach eksperymentów, zobacz Organizowanie przebiegów trenowania przy użyciu eksperymentów MLflow.
Listy kontroli dostępu (ACL) dla eksperymentów notebookowych
Zmiana tych uprawnień modyfikuje również uprawnienia do notesu odpowiadającego eksperymentowi.
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Wyświetlanie notesu | x | x | x | x | |
| Komentarz do notatnika | x | x | x | x | |
| Dołącz/odłącz notebook do komputera | x | x | x | ||
| Uruchamianie poleceń w notesie | x | x | x | ||
| Edytuj notatnik | x | x | |||
| Modyfikuj uprawnienia | x |
ACL dla eksperymentów w obszarze roboczym
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|
| Wyświetlanie eksperymentu | x | x | x | |
| Rejestrowanie przebiegów eksperymentu | x | x | ||
| Edytowanie eksperymentu | x | x | ||
| Usuwanie eksperymentu | x | |||
| Modyfikuj uprawnienia | x |
Uprawnienia ACL modeli MLflow
W tej tabeli opisano sposób kontrolowania dostępu do zarejestrowanych modeli w przestrzeniach roboczych, które nie są włączone dla Unity Catalog. Jeśli Twój obszar roboczy ma włączony Unity Catalog, zamiast tego użyj uprawnień Unity Catalog.
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ WERSJAMI PRZEJŚCIOWYMI | MOŻE ZARZĄDZAĆ WERSJAMI PRODUKCYJNYMI | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|---|
| Wyświetlanie szczegółów modelu, wersji, żądań zmiany etapu, działań i URI pobierania artefaktów | x | x | x | x | x | |
| Żądanie przejścia etapu wersji modelu | x | x | x | x | x | |
| Dodawanie wersji do modelu | x | x | x | x | ||
| Aktualizowanie modelu i opisu wersji | x | x | x | x | ||
| Dodawanie lub edytowanie tagów | x | x | x | x | ||
| Przenoszenie wersji modelu między etapami | x | x | x | |||
| Zatwierdzanie żądania przeniesienia | x | x | x | |||
| Anulowanie żądania przeniesienia | x | |||||
| Zmienianie nazwy modelu | x | |||||
| Modyfikuj uprawnienia | x | |||||
| Usuwanie modelu i wersji modelu | x |
Notebook ACL (Kontrole dostępu do notatnika)
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Wyświetlanie komórek | x | x | x | x | |
| Komentarz | x | x | x | x | |
| Uruchamianie przy użyciu %run lub przepływów pracy notebooka | x | x | x | x | |
| Dołączanie i odłączanie notesów | x | x | x | ||
| Uruchamianie poleceń | x | x | x | ||
| Edytuj komórki | x | x | |||
| Modyfikuj uprawnienia | x |
Listy kontroli dostępu puli
| Zdolność | BRAK UPRAWNIEŃ | MOŻE DOŁĄCZAĆ DO | MOŻE ZARZĄDZAĆ |
|---|---|---|---|
| Dołącz klaster do puli | x | x | |
| Usuń pulę | x | ||
| Edytuj pulę | x | ||
| Modyfikuj uprawnienia | x |
Listy ACL zapytań
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ | MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Wyświetlanie własnych zapytań | x | x | x | x | |
| Zobacz w liście zapytań | x | x | x | x | |
| Wyświetlanie tekstu zapytania | x | x | x | x | |
| Wyświetl wynik zapytania | x | x | x | x | |
| Odśwież wynik zapytania (lub wybierz inne parametry) | x | x | x | ||
| Dołączanie zapytania do pulpitu nawigacyjnego | x | x | x | ||
| Edytowanie tekstu zapytania | x | x | |||
| Zmienianie usługi SQL Warehouse lub źródła danych | x | ||||
| Modyfikuj uprawnienia | x | ||||
| Usuń zapytanie | x |
Tajne listy kontroli dostępu
| Zdolność | CZYTAJ | PISAĆ | ZARZĄDZAJ |
|---|---|---|---|
| Przeczytaj zakres tajny | x | x | x |
| Wymień tajemnice w zakresie | x | x | x |
| Napisz do tajnego zakresu | x | x | |
| Modyfikuj uprawnienia | x |
Obsługa list ACL dla punktów końcowych
| Zdolność | BRAK UPRAWNIEŃ | MOŻE OGLĄDAĆ | ZAPYTANIE CAN | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|
| Pobierz punkt końcowy | x | x | x | |
| Lista punktów końcowych | x | x | x | |
| Punkt końcowy zapytania | x | x | ||
| Aktualizowanie konfiguracji punktu końcowego | x | |||
| Usuń punkt końcowy | x | |||
| Modyfikuj uprawnienia | x |
Listy ACL magazynu SQL
| Zdolność | BRAK UPRAWNIEŃ | MOŻE UŻYWAĆ | MOŻE MONITOROWAĆ | JEST WŁAŚCICIELEM | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Uruchamianie magazynu | x | x | x | x | |
| Wyświetlanie szczegółów magazynu | x | x | x | x | |
| Wyświetl zapytania magazynowe | x | x | x | ||
| Uruchamianie zapytań | x | x | x | x | |
| Wyświetlanie karty monitorowania magazynu | x | x | x | ||
| Zatrzymaj magazyn | x | x | |||
| Usuwanie magazynu | x | x | |||
| Edytowanie magazynu | x | x | |||
| Modyfikuj uprawnienia | x | x |
ACL punktu końcowego wyszukiwania wektorowego
| Zdolność | BRAK UPRAWNIEŃ | MOŻE UTWORZYĆ | MOŻE UŻYWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|
| Uzyskiwanie punktu końcowego | x | x | x | |
| Wymień punkty końcowe | x | x | x | |
| Tworzenie punktu końcowego | x | x | x | |
| Korzystanie z punktu końcowego (tworzenie indeksu) | x | x | ||
| Usuń punkt końcowy | x | |||
| Modyfikuj uprawnienia | x |