Listas de controlo de acesso
Este artigo descreve detalhes sobre as permissões disponíveis para os diferentes objetos de espaço de trabalho.
Nota
O controle de acesso requer o plano Premium.
As configurações de controle de acesso são desabilitadas por padrão em espaços de trabalho que são atualizados do plano Standard para o plano Premium. Uma vez que uma configuração de controle de acesso está ativada, ela não pode ser desativada. Para obter mais informações, consulte As listas de controles de acesso podem ser habilitadas em espaços de trabalho atualizados.
Visão geral das listas de controle de acesso
No Azure Databricks, você pode usar listas de controle de acesso (ACLs) para configurar a permissão para acessar objetos no nível do espaço de trabalho. Os administradores de espaço de trabalho têm a permissão CAN MANAGE em todos os objetos em seu espaço de trabalho, o que lhes dá a capacidade de gerenciar permissões em todos os objetos em seus espaços de trabalho. Os usuários têm automaticamente a permissão CAN MANAGE para objetos que criam.
Para obter um exemplo de como mapear personas típicas para permissões no nível do espaço de trabalho, consulte a Proposta de introdução aos grupos e permissões do Databricks.
Gerenciar listas de controle de acesso com pastas
Você pode gerenciar permissões de objeto de espaço de trabalho adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tem a permissão CAN RUN em uma pasta tem a permissão CAN RUN nos alertas dessa pasta.
Se você conceder a um usuário acesso a um objeto dentro da pasta, ele poderá exibir o nome da pasta pai, mesmo que não tenha permissões na pasta pai. Por exemplo, um bloco de anotações chamado test1.py está em uma pasta chamada Workflows. Se conceder a um usuário PODE LER em test1.py e nenhuma permissão em Workflows, o usuário poderá ver que a pasta principal tem o nome Workflows. O usuário não pode exibir ou acessar quaisquer outros objetos na pasta, a Workflows menos que tenham recebido permissões sobre eles.
Para saber mais sobre como organizar objetos em pastas, consulte Navegador de espaço de trabalho.
ACLs do painel AI/BI
| Capacidade | SEM PERMISSÕES | PODE VER/PODE EXECUTAR | PODE EDITAR | PODE GERIR |
|---|---|---|---|---|
| Ver painel e resultados | x | x | x | |
| Interaja com widgets | x | x | x | |
| Atualizar o dashboard | x | x | x | |
| Editar o dashboard | x | x | ||
| Painel de clonagem | x | x | x | |
| Publicar instantâneo do painel | x | x | ||
| Modificar permissões | x | |||
| Excluir painel | x |
ACLs de alertas
| Capacidade | SEM PERMISSÕES | PODE CORRER | PODE GERIR |
|---|---|---|---|
| Ver na lista de alertas | x | x | |
| Ver alerta e resultado | x | x | |
| Acionar manualmente a execução do alerta | x | x | |
| Subscrever as notificações | x | x | |
| Editar alerta | x | ||
| Modificar permissões | x | ||
| Excluir alerta | x |
Computar ACLs
Importante
Os usuários com permissões CAN ATTACH TO podem visualizar as chaves da conta de serviço no arquivo log4j. Tenha cuidado ao conceder esse nível de permissão.
| Capacidade | SEM PERMISSÕES | PODE ANEXAR A | PODE REINICIAR: | PODE GERIR |
|---|---|---|---|---|
| Anexar bloco de notas à computação | x | x | x | |
| Ver IU do Spark | x | x | x | |
| Ver métricas de computação | x | x | x | |
| Encerrar a computação | x | x | ||
| Iniciar e reiniciar a computação | x | x | ||
| Ver registos de controladores | x (ver nota) | |||
| Editar computação | x | |||
| Anexar biblioteca à computação | x | |||
| Redimensionar computação | x | |||
| Modificar permissões | x |
Nota
Os segredos não são editados do log stdoutstderr e dos fluxos do driver Spark de um cluster. Para proteger dados confidenciais, por padrão, os logs de driver do Spark são visíveis apenas por usuários com permissão CAN MANAGE no trabalho, modo de acesso de usuário único e clusters de modo de acesso compartilhado. Para permitir que os usuários com permissão CAN ATTACH TO ou CAN RESTART visualizem os logs nesses clusters, defina a seguinte propriedade de configuração do Spark na configuração do cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
Em clusters do modo de acesso partilhado sem isolamento, os registos do do controlador do Spark podem ser visualizados por utilizadores com as permissões CAN ATTACH TO ou CAN MANAGE. Para limitar quem pode ler os logs apenas aos usuários com a permissão CAN MANAGE, defina spark.databricks.acl.needAdminPermissionToViewLogs como true.
Consulte Configuração do Spark para saber como adicionar propriedades do Spark a uma configuração de cluster.
ACLs de painel herdadas
| Capacidade | SEM PERMISSÕES | PODE VER | PODE CORRER | PODE EDITAR | PODE GERIR |
|---|---|---|---|---|---|
| Ver na lista de painéis de controlo | x | x | x | x | |
| Ver painel e resultados | x | x | x | x | |
| Atualizar os resultados da consulta no painel (ou escolher parâmetros diferentes) | x | x | x | ||
| Editar o dashboard | x | x | |||
| Modificar permissões | x | ||||
| Excluir painel | x |
A edição de um painel herdado requer a configuração Executar como compartilhamento de visualizador . Consulte o comportamento de atualização e o contexto de execução
ACLs de pipeline do Delta Live Tables
| Capacidade | SEM PERMISSÕES | PODE VER | PODE CORRER | PODE GERIR | É PROPRIETÁRIO |
|---|---|---|---|---|---|
| Exibir detalhes do pipeline e listar pipeline | x | x | x | x | |
| Exibir a interface do usuário do Spark e os logs de driver | x | x | x | x | |
| Iniciar e interromper uma atualização de pipeline | x | x | x | ||
| Pare clusters de pipeline diretamente | x | x | x | ||
| Editar configurações de pipeline | x | x | |||
| Excluir o pipeline | x | x | |||
| Purgar execuções e experimentos | x | x | |||
| Modificar permissões | x | x |
ACLs de tabelas de funcionalidades
Esta tabela descreve como controlar o acesso a tabelas de recursos em espaços de trabalho que não estão habilitados para o Catálogo Unity. Se seu espaço de trabalho estiver habilitado para o Catálogo Unity, use privilégios do Catálogo Unity em vez disso.
Nota
- O controlo de acesso do Feature Store não governa o acesso à tabela Delta subjacente , que é governada pelo controlo de acesso à tabela .
- Para obter mais informações sobre permissões de tabelas de funcionalidades do espaço de trabalho, consulte Controlar o acesso a tabelas de funcionalidades no Armazém de Funcionalidades do Espaço de Trabalho (legado).
| Capacidade | PODE VISUALIZAR METADADOS | PODE EDITAR METADADOS | PODE GERIR |
|---|---|---|---|
| Ler tabela de funcionalidades | X | X | X |
| Tabela de recursos de pesquisa | X | X | X |
| Publicar tabela de recursos na loja online | X | X | X |
| Gravar características na tabela de características | X | X | |
| Atualizar a descrição da tabela de recursos | X | X | |
| Modificar permissões | X | ||
| Excluir tabela de funcionalidades | X |
ACLs de arquivo
| Capacidade | SEM PERMISSÕES | PODE LER | PODE CORRER | PODE EDITAR | PODE GERIR |
|---|---|---|---|---|---|
| Ler ficheiro | x | x | x | x | |
| Comentário | x | x | x | x | |
| Anexar e desanexar arquivo | x | x | x | ||
| Executar arquivo interativamente | x | x | x | ||
| Editar ficheiro | x | x | |||
| Modificar permissões | x |
ACLs de pasta
| Capacidade | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE CORRER | PODE GERIR |
|---|---|---|---|---|---|
| Listar objetos na pasta | x | x | x | x | x |
| Exibir objetos na pasta | x | x | x | x | |
| Clone e exporte itens | x | x | x | ||
| Executar objetos na pasta | x | x | |||
| Criar, importar e excluir itens | x | ||||
| Mover e renomear itens | x | ||||
| Modificar permissões | x |
ACLs de espaço Genie
| Capacidade | SEM PERMISSÕES | PODE VER/PODE EXECUTAR | PODE EDITAR | PODE GERIR |
|---|---|---|---|---|
| Ver na lista de espaços do Genie | x | x | x | x |
| Faça perguntas ao Genie | x | x | x | |
| Fornecer feedback de resposta | x | x | x | |
| Adicionar ou editar instruções do Genie | x | x | ||
| Adicionar ou editar exemplos de perguntas | x | x | ||
| Adicionar ou remover tabelas incluídas | x | x | ||
| Monitorizar um espaço | x | |||
| Modificar permissões | x | |||
| Excluir espaço | x | |||
| Ver conversas de outros utilizadores | x |
ACLs da pasta Git
| Capacidade | SEM PERMISSÕES | PODE LER | PODE CORRER | PODE EDITAR | PODE GERIR |
|---|---|---|---|---|---|
| Listar ativos em uma pasta | x | x | x | x | x |
| Exibir ativos em uma pasta | x | x | x | x | |
| Clone e exporte ativos | x | x | x | x | |
| Executar ativos executáveis na pasta | x | x | x | ||
| Editar e renomear ativos em uma pasta | x | x | |||
| Criar uma ramificação em uma pasta | x | ||||
| Puxar ou empurrar uma ramificação para uma pasta | x | ||||
| Criar, importar, excluir e mover ativos | x | ||||
| Modificar permissões | x |
ACLs de trabalho
| Capacidade | SEM PERMISSÕES | PODE VER | PODE GERENCIAR A EXECUÇÃO | É PROPRIETÁRIO | PODE GERIR |
|---|---|---|---|---|---|
| Exibir detalhes e configurações do trabalho | x | x | x | x | |
| Ver resultados | x | x | x | x | |
| Exibir a interface do usuário do Spark, logs de uma execução de trabalho | x | x | x | ||
| Executar agora | x | x | x | ||
| Cancelar execução | x | x | x | ||
| Editar configurações de trabalho | x | x | |||
| Eliminar trabalho | x | x | |||
| Modificar permissões | x | x |
ACLs de experimento MLflow
Os ACLs das experiências MLflow são diferentes para experiências de notebook e experiências de espaço de trabalho. As experiências de blocos de notas não podem ser geridas independentemente do bloco de notas que as criou, pelo que as permissões são semelhantes às permissões de blocos de notas. Para saber mais sobre os dois tipos de experimentos, consulte Organizar treinamentos com experimentos MLflow.
ACLs para experiências com blocos de notas
Alterar essas permissões também modifica as permissões no bloco de anotações que corresponde ao experimento.
| Capacidade | SEM PERMISSÕES | PODE LER | PODE CORRER | PODE EDITAR | PODE GERIR |
|---|---|---|---|---|---|
| Ver bloco de notas | x | x | x | x | |
| Comentar no bloco de notas | x | x | x | x | |
| Anexar/desanexar caderno de notas ao sistema de computação | x | x | x | ||
| Executar comandos no caderno | x | x | x | ||
| Editar caderno | x | x | |||
| Modificar permissões | x |
ACLs para experimentos de espaço de trabalho
| Capacidade | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE GERIR |
|---|---|---|---|---|
| Ver experiência | x | x | x | |
| Execuções de log para o experimento | x | x | ||
| Editar a experiência | x | x | ||
| Excluir o experimento | x | |||
| Modificar permissões | x |
ACLs do modelo MLflow
Esta tabela descreve como controlar o acesso a modelos registrados em espaços de trabalho que não estão habilitados para o Unity Catalog. Se seu espaço de trabalho estiver habilitado para o Catálogo Unity, use privilégios do Catálogo Unity em vez disso.
| Capacidade | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE GERENCIAR VERSÕES DE PREPARO | PODE GERENCIAR VERSÕES DE PRODUÇÃO | PODE GERIR |
|---|---|---|---|---|---|---|
| Exibir detalhes do modelo, versões, solicitações de transição de estágio, atividades e URIs de download de artefato | x | x | x | x | x | |
| Solicitar uma transição de estágio da versão do modelo | x | x | x | x | x | |
| Adicionar uma versão a um modelo | x | x | x | x | ||
| Atualizar descrição do modelo e da versão | x | x | x | x | ||
| Adicionar ou editar tags | x | x | x | x | ||
| Versão do modelo de transição entre estágios | x | x | x | |||
| Aprovar uma solicitação de transição | x | x | x | |||
| Cancelar uma solicitação de transição | x | |||||
| Renomear modelo | x | |||||
| Modificar permissões | x | |||||
| Excluir versões de modelo e modelo | x |
Notebook ACLs
| Capacidade | SEM PERMISSÕES | PODE LER | PODE CORRER | PODE EDITAR | PODE GERIR |
|---|---|---|---|---|---|
| Ver células | x | x | x | x | |
| Comentário | x | x | x | x | |
| Executar usando fluxos de trabalho de %run ou bloco de anotações | x | x | x | x | |
| Anexar e desanexar blocos de notas | x | x | x | ||
| Executar comandos | x | x | x | ||
| Editar células | x | x | |||
| Modificar permissões | x |
Pool ACLs
| Capacidade | SEM PERMISSÕES | PODE ANEXAR A | PODE GERIR |
|---|---|---|---|
| Anexar cluster ao pool | x | x | |
| Excluir pool | x | ||
| Editar pool | x | ||
| Modificar permissões | x |
ACLs de consulta
| Capacidade | SEM PERMISSÕES | PODE VER | PODE CORRER | PODE EDITAR | PODE GERIR |
|---|---|---|---|---|---|
| Ver consultas próprias | x | x | x | x | |
| Ver na lista de consultas | x | x | x | x | |
| Ver texto da consulta | x | x | x | x | |
| Ver resultado da consulta | x | x | x | x | |
| Atualizar o resultado da consulta (ou escolher parâmetros diferentes) | x | x | x | ||
| Incluir a consulta em um painel | x | x | x | ||
| Editar texto da consulta | x | x | |||
| Alterar o SQL warehouse ou a fonte de dados | x | ||||
| Modificar permissões | x | ||||
| Excluir consulta | x |
ACLs secretas
| Capacidade | LER | ESCREVER | GERIR |
|---|---|---|---|
| Leia o âmbito secreto | x | x | x |
| Listar segredos no escopo | x | x | x |
| Escrever no âmbito secreto | x | x | |
| Modificar permissões | x |
Servindo ACLs de endpoint
| Capacidade | SEM PERMISSÕES | PODE VER | PODE CONSULTAR | PODE GERIR |
|---|---|---|---|---|
| Obter endpoint | x | x | x | |
| Listar ponto de extremidade | x | x | x | |
| Ponto de extremidade de consulta | x | x | ||
| Atualizar configuração do ponto de extremidade | x | |||
| Excluir ponto de extremidade | x | |||
| Modificar permissões | x |
SQL warehouse ACLs
| Capacidade | SEM PERMISSÕES | PODE USAR | PODE MONITORAR | É PROPRIETÁRIO | PODE GERIR |
|---|---|---|---|---|---|
| Iniciar o armazém | x | x | x | x | |
| Ver detalhes do armazém | x | x | x | x | |
| Ver consultas de armazém | x | x | x | ||
| Executar consultas | x | x | x | x | |
| Ver separador de monitorização de armazém | x | x | x | ||
| Pare o armazém | x | x | |||
| Excluir o depósito | x | x | |||
| Editar o armazém | x | x | |||
| Modificar permissões | x | x |
ACLs de ponto de extremidade de pesquisa vetorial
| Capacidade | SEM PERMISSÕES | PODE CRIAR | PODE USAR | PODE GERIR |
|---|---|---|---|---|
| Obter endpoint | x | x | x | |
| Listar pontos finais | x | x | x | |
| Criar ponto de extremidade | x | x | x | |
| Usar ponto de extremidade (criar índice) | x | x | ||
| Excluir ponto de extremidade | x | |||
| Modificar permissões | x |