Ustawienia kontroli dostępu są domyślnie wyłączone w obszarach roboczych uaktualnionych z planu standardowego do planu Premium. Po włączeniu ustawienia kontroli dostępu nie można go wyłączyć. Aby uzyskać więcej informacji, zobacz Listy kontroli dostępu można włączyć w uaktualnionych obszarach roboczych.
Omówienie list kontroli dostępu
W usłudze Azure Databricks możesz użyć list kontroli dostępu (ACL), aby skonfigurować uprawnienia dostępu do obiektów na poziomie obszaru roboczego. Administratorzy obszaru roboczego mają uprawnienie CAN MANAGE dla wszystkich obiektów w obszarze roboczym, co daje im możliwość zarządzania uprawnieniami do wszystkich obiektów w swoich obszarach roboczych. Użytkownicy mają automatycznie uprawnienie CAN MANAGE dla tworzonych obiektów.
Zarządzanie listami kontroli dostępu za pomocą folderów
Uprawnienia obiektu obszaru roboczego można zarządzać, dodając obiekty do folderów. Obiekty w folderze dziedziczą wszystkie ustawienia uprawnień tego folderu. Na przykład użytkownik, który ma uprawnienie CAN RUN w folderze, ma uprawnienie CAN RUN dla alertów w tym folderze.
Jeśli przyznasz użytkownikowi dostęp do obiektu wewnątrz folderu, może wyświetlić nazwę folderu nadrzędnego, nawet jeśli nie mają uprawnień do folderu nadrzędnego. Na przykład notes o nazwie test1.py znajduje się w folderze o nazwie Workflows. Jeśli przyznasz użytkownikowi uprawnienia CAN READ on test1.py i nie masz uprawnień w Workflowsusłudze , użytkownik będzie mógł zobaczyć, że folder nadrzędny ma nazwę Workflows. Użytkownik nie może wyświetlić ani uzyskać dostępu do żadnych innych obiektów w Workflows folderze, chyba że udzielono im uprawnień.
Aby dowiedzieć się więcej o organizowaniu obiektów w folderach, zobacz Przeglądarka obszarów roboczych.
Listy AI/BI pulpitu nawigacyjnego
Zdolność
BRAK UPRAWNIEŃ
MOŻE WYŚWIETLAĆ/MOŻNA URUCHOMIĆ
MOŻE EDYTOWAĆ
MOŻE ZARZĄDZAĆ
Wyświetlanie pulpitu nawigacyjnego i wyników
x
x
x
Interakcja z widżetami
x
x
x
Odświeżanie pulpitu nawigacyjnego
x
x
x
Edytowanie pulpitu nawigacyjnego
x
x
Klonowanie pulpitu nawigacyjnego
x
x
x
Publikowanie migawki pulpitu nawigacyjnego
x
x
Modyfikuj uprawnienia
x
Usuwanie pulpitu nawigacyjnego
x
Listy ACL alertów
Zdolność
BRAK UPRAWNIEŃ
MOŻNA URUCHOMIĆ
MOŻE ZARZĄDZAĆ
Zobacz na liście alertów
x
x
Wyświetlanie alertu i wyniku
x
x
Ręczne wyzwalanie uruchomienia alertu
x
x
Subskrybuj powiadomienia
x
x
Edytuj alert
x
Modyfikuj uprawnienia
x
Usuwanie alertu
x
Listy ACL zasobów obliczeniowych
Ważne
Użytkownicy z uprawnieniami CAN ATTACH TO mogą wyświetlać klucze konta usługi w pliku log4j. Podczas udzielania tego poziomu uprawnień należy zachować ostrożność.
Wpisy tajne nie są redagowane z dziennika stdout i stderr strumieni sterowników spark klastra. Aby chronić dane poufne, domyślnie dzienniki sterowników platformy Spark są widoczne tylko przez użytkowników z uprawnieniami CAN MANAGE w zadaniu, trybie dostępu pojedynczego użytkownika i klastrach trybu dostępu współdzielonego. Aby zezwolić użytkownikom z uprawnieniem CAN ATTACH TO lub CAN RESTART, aby wyświetlić dzienniki w tych klastrach, ustaw następującą właściwość konfiguracji platformy Spark w konfiguracji klastra: spark.databricks.acl.needAdminPermissionToViewLogs false.
W przypadku klastrów z trybem dostępu wspólnego bez izolacji dzienniki sterowników platformy Spark mogą być wyświetlane przez użytkowników z uprawnieniem CAN ATTACH TO lub CAN MANAGE. Aby ograniczyć, kto może odczytywać dzienniki tylko użytkownikom z uprawnieniami CAN MANAGE, ustaw wartość spark.databricks.acl.needAdminPermissionToViewLogstrue.
Zobacz Konfiguracja platformy Spark, aby dowiedzieć się, jak dodać właściwości platformy Spark do konfiguracji klastra.
Starsze listy ACL pulpitu nawigacyjnego
Zdolność
BRAK UPRAWNIEŃ
MOŻE WYŚWIETLAĆ
MOŻNA URUCHOMIĆ
MOŻE EDYTOWAĆ
MOŻE ZARZĄDZAĆ
Zobacz na liście pulpitów nawigacyjnych
x
x
x
x
Wyświetlanie pulpitu nawigacyjnego i wyników
x
x
x
x
Odśwież wyniki zapytania na pulpicie nawigacyjnym (lub wybierz inne parametry)
x
x
x
Edytowanie pulpitu nawigacyjnego
x
x
Modyfikuj uprawnienia
x
Usuwanie pulpitu nawigacyjnego
x
Edytowanie starszego pulpitu nawigacyjnego wymaga ustawienia Uruchom jako osoby przeglądającego . Zobacz Odświeżanie zachowania i kontekstu wykonywania.
Listy ACL potoku tabel na żywo usługi Delta
Zdolność
BRAK UPRAWNIEŃ
MOŻE WYŚWIETLAĆ
MOŻNA URUCHOMIĆ
MOŻE ZARZĄDZAĆ
JEST WŁAŚCICIELEM
Wyświetlanie szczegółów potoku i potoku listy
x
x
x
x
Wyświetlanie dzienników interfejsu użytkownika platformy Spark i sterowników
x
x
x
x
Uruchamianie i zatrzymywanie aktualizacji potoku
x
x
x
Zatrzymywanie klastrów potoków bezpośrednio
x
x
x
Edytowanie ustawień potoku
x
x
Usuwanie potoku
x
x
Przeczyszczanie przebiegów i eksperymentów
x
x
Modyfikuj uprawnienia
x
x
Listy ACL tabel funkcji
W tej tabeli opisano sposób kontrolowania dostępu do tabel funkcji w obszarach roboczych, które nie są włączone dla wykazu aparatu Unity. Jeśli obszar roboczy jest włączony dla wykazu aparatu Unity, zamiast tego użyj uprawnień wykazu aparatu Unity.
Tworzenie, importowanie, usuwanie i przenoszenie zasobów
x
Modyfikuj uprawnienia
x
Listy ACL zadań
Zdolność
BRAK UPRAWNIEŃ
MOŻE WYŚWIETLAĆ
MOŻE ZARZĄDZAĆ PRZEBIEGIEM
JEST WŁAŚCICIELEM
MOŻE ZARZĄDZAĆ
Wyświetlanie szczegółów i ustawień zadania
x
x
x
x
Wyświetlanie wyników
x
x
x
x
Wyświetlanie interfejsu użytkownika platformy Spark, dzienników przebiegu zadania
x
x
x
Uruchom teraz
x
x
x
Anuluj przebieg
x
x
x
Edytowanie ustawień zadania
x
x
Usuwanie zadania
x
x
Modyfikuj uprawnienia
x
x
Listy ACL eksperymentu MLflow
Zdolność
BRAK UPRAWNIEŃ
MOŻE ODCZYTYWAĆ
MOŻE EDYTOWAĆ
MOŻE ZARZĄDZAĆ
Wyświetlanie przebiegów porównania wyszukiwania informacji przebiegów
x
x
x
Wyświetlanie, wyświetlanie i pobieranie artefaktów przebiegu
x
x
x
Tworzenie, usuwanie i przywracanie przebiegów
x
x
Parametry przebiegu dziennika, metryki, tagi
x
x
Artefakty uruchamiania dziennika
x
x
Edytowanie tagów eksperymentu
x
x
Przeczyszczanie przebiegów i eksperymentów
x
Modyfikuj uprawnienia
x
Listy ACL modelu MLflow
W tej tabeli opisano sposób kontrolowania dostępu do zarejestrowanych modeli w obszarach roboczych, które nie są włączone dla wykazu aparatu Unity. Jeśli obszar roboczy jest włączony dla wykazu aparatu Unity, zamiast tego użyj uprawnień wykazu aparatu Unity.
Zdolność
BRAK UPRAWNIEŃ
MOŻE ODCZYTYWAĆ
MOŻE EDYTOWAĆ
MOŻE ZARZĄDZAĆ WERSJAMI PRZEJŚCIOWYMI
MOŻE ZARZĄDZAĆ WERSJAMI PRODUKCYJNYMI
MOŻE ZARZĄDZAĆ
Wyświetlanie szczegółów modelu, wersji, żądań przejścia etapu, działań i identyfikatorów URI pobierania artefaktów
x
x
x
x
x
Żądanie przejścia etapu wersji modelu
x
x
x
x
x
Dodawanie wersji do modelu
x
x
x
x
Aktualizowanie modelu i opisu wersji
x
x
x
x
Dodawanie lub edytowanie tagów
x
x
x
x
Przenoszenie wersji modelu między etapami
x
x
x
Zatwierdzanie żądania przeniesienia
x
x
x
Anulowanie żądania przeniesienia
x
Zmienianie nazwy modelu
x
Modyfikuj uprawnienia
x
Usuwanie wersji modelu i modelu
x
Listy ACL notesu
Zdolność
BRAK UPRAWNIEŃ
MOŻE ODCZYTYWAĆ
MOŻNA URUCHOMIĆ
MOŻE EDYTOWAĆ
MOŻE ZARZĄDZAĆ
Wyświetlanie komórek
x
x
x
x
Komentarz
x
x
x
x
Uruchamianie za pomocą przepływów pracy %run or notebook
x
x
x
x
Dołączanie i odłączanie notesów
x
x
x
Uruchamianie poleceń
x
x
x
Edytuj komórki
x
x
Modyfikuj uprawnienia
x
Listy ACL puli
Zdolność
BRAK UPRAWNIEŃ
MOŻE DOŁĄCZAĆ DO
MOŻE ZARZĄDZAĆ
Dołączanie klastra do puli
x
x
Usuwanie puli
x
Edytowanie puli
x
Modyfikuj uprawnienia
x
Listy ACL zapytań
Zdolność
BRAK UPRAWNIEŃ
MOŻE WYŚWIETLAĆ
MOŻNA URUCHOMIĆ
MOŻE EDYTOWAĆ
MOŻE ZARZĄDZAĆ
Wyświetlanie własnych zapytań
x
x
x
x
Zobacz na liście zapytań
x
x
x
x
Wyświetlanie tekstu zapytania
x
x
x
x
Wyświetl wynik zapytania
x
x
x
x
Odśwież wynik zapytania (lub wybierz inne parametry)
x
x
x
Dołączanie zapytania do pulpitu nawigacyjnego
x
x
x
Edytowanie tekstu zapytania
x
x
Zmienianie usługi SQL Warehouse lub źródła danych
x
Modyfikuj uprawnienia
x
Usuń zapytanie
x
Tajne listy ACL
Zdolność
CZYTAJ
PISAĆ
ZARZĄDZAJ
Odczytywanie zakresu wpisów tajnych
x
x
x
Wyświetlanie listy wpisów tajnych w zakresie
x
x
x
Zapisywanie w zakresie wpisu tajnego
x
x
Modyfikuj uprawnienia
x
Obsługa list ACL punktów końcowych
Zdolność
BRAK UPRAWNIEŃ
MOŻE WYŚWIETLAĆ
ZAPYTANIE CAN
MOŻE ZARZĄDZAĆ
Uzyskiwanie punktu końcowego
x
x
x
Wyświetlanie listy punktów końcowych
x
x
x
Punkt końcowy zapytania
x
x
Aktualizowanie konfiguracji punktu końcowego
x
Usuwanie punktu końcowego
x
Modyfikuj uprawnienia
x
Listy ACL usługi SQL Warehouse
Zdolność
BRAK UPRAWNIEŃ
MOŻE UŻYWAĆ
MOŻE MONITOROWAĆ
JEST WŁAŚCICIELEM
MOŻE ZARZĄDZAĆ
Uruchamianie magazynu
x
x
x
x
Wyświetlanie szczegółów magazynu
x
x
x
x
Wyświetlanie zapytań magazynu
x
x
x
Uruchamianie zapytań
x
x
x
x
Wyświetlanie karty monitorowania magazynu
x
x
x
Zatrzymywanie magazynu
x
x
Usuwanie magazynu
x
x
Edytowanie magazynu
x
x
Modyfikuj uprawnienia
x
x
Listy ACL punktu końcowego wyszukiwania wektorowego
Zdolność
BRAK UPRAWNIEŃ
MOŻE UTWORZYĆ
MOŻE UŻYWAĆ
MOŻE ZARZĄDZAĆ
Uzyskiwanie punktu końcowego
x
x
x
Wyświetlanie listy punktów końcowych
x
x
x
Tworzenie punktu końcowego
x
x
x
Korzystanie z punktu końcowego (tworzenie indeksu)