Listas de controlo de acesso

Este artigo descreve detalhes sobre as permissões disponíveis para os diferentes objetos de espaço de trabalho.

Nota

O controle de acesso requer o plano Premium.

As configurações de controle de acesso são desabilitadas por padrão em espaços de trabalho que são atualizados do plano Standard para o plano Premium. Uma vez que uma configuração de controle de acesso está ativada, ela não pode ser desativada. Para obter mais informações, consulte As listas de controles de acesso podem ser habilitadas em espaços de trabalho atualizados.

Visão geral das listas de controle de acesso

No Azure Databricks, você pode usar listas de controle de acesso (ACLs) para configurar a permissão para acessar objetos no nível do espaço de trabalho. Os administradores de espaço de trabalho têm a permissão CAN MANAGE em todos os objetos em seu espaço de trabalho, o que lhes dá a capacidade de gerenciar permissões em todos os objetos em seus espaços de trabalho. Os usuários têm automaticamente a permissão CAN MANAGE para objetos que criam.

Para obter um exemplo de como mapear personas típicas para permissões no nível do espaço de trabalho, consulte a Proposta de introdução aos grupos e permissões do Databricks.

Gerenciar listas de controle de acesso com pastas

Você pode gerenciar permissões de objeto de espaço de trabalho adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tem a permissão CAN RUN em uma pasta tem a permissão CAN RUN nos alertas dessa pasta.

Se você conceder a um usuário acesso a um objeto dentro da pasta, ele poderá exibir o nome da pasta pai, mesmo que não tenha permissões na pasta pai. Por exemplo, um bloco de anotações chamado test1.py está em uma pasta chamada Workflows. Se você conceder a um usuário CAN READ on test1.py e nenhuma permissão no Workflows, o usuário poderá ver que a pasta pai é nomeada Workflows. O usuário não pode exibir ou acessar quaisquer outros objetos na pasta, a Workflows menos que tenham recebido permissões sobre eles.

Para saber mais sobre como organizar objetos em pastas, consulte Navegador de espaço de trabalho.

ACLs do painel AI/BI

Capacidade	SEM PERMISSÕES	PODE VER/PODE EXECUTAR	PODE EDITAR	PODE GERIR
Ver painel e resultados		x	x	x
Interaja com widgets		x	x	x
Atualizar o painel		x	x	x
Editar o dashboard			x	x
Painel de clonagem		x	x	x
Publicar instantâneo do painel			x	x
Modificar permissões				x
Excluir painel				x

ACLs de alertas

Capacidade	SEM PERMISSÕES	PODE CORRER	PODE GERIR
Ver na lista de alertas		x	x
Ver alerta e resultado		x	x
Acionar manualmente a execução do alerta		x	x
Subscrever as notificações		x	x
Editar alerta			x
Modificar permissões			x
Excluir alerta			x

Computar ACLs

Importante

Os usuários com permissões CAN ATTACH TO podem visualizar as chaves da conta de serviço no arquivo log4j. Tenha cuidado ao conceder esse nível de permissão.

Capacidade	SEM PERMISSÕES	PODE ANEXAR A	PODE REINICIAR:	PODE GERIR
Anexar bloco de notas à computação		x	x	x
Ver IU do Spark		x	x	x
Ver métricas de computação		x	x	x
Encerrar a computação			x	x
Iniciar e reiniciar a computação			x	x
Ver registos de controladores				x (ver nota)
Editar computação				x
Anexar biblioteca à computação				x
Redimensionar computação				x
Modificar permissões				x

Nota

Os segredos não são editados do log stdoutstderr e dos fluxos do driver Spark de um cluster. Para proteger dados confidenciais, por padrão, os logs de driver do Spark são visíveis apenas por usuários com permissão CAN MANAGE no trabalho, modo de acesso de usuário único e clusters de modo de acesso compartilhado. Para permitir que os usuários com permissão CAN ATTACH TO ou CAN RESTART visualizem os logs nesses clusters, defina a seguinte propriedade de configuração do Spark na configuração do cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.

Em clusters do modo de acesso partilhado sem isolamento, os registos do do controlador do Spark podem ser visualizados por utilizadores com as permissões CAN ATTACH TO ou CAN MANAGE. Para limitar quem pode ler os logs apenas aos usuários com a permissão CAN MANAGE, defina spark.databricks.acl.needAdminPermissionToViewLogs como true.

Consulte Configuração do Spark para saber como adicionar propriedades do Spark a uma configuração de cluster.

ACLs de painel herdadas

Capacidade	SEM PERMISSÕES	PODE VER	PODE CORRER	PODE EDITAR	PODE GERIR
Ver na lista de painéis		x	x	x	x
Ver painel e resultados		x	x	x	x
Atualizar os resultados da consulta no painel (ou escolher parâmetros diferentes)			x	x	x
Editar o dashboard				x	x
Modificar permissões					x
Excluir painel					x

A edição de um painel herdado requer a configuração Executar como compartilhamento de visualizador . Consulte Comportamento de atualização e contexto de execução.

Delta Live Tables pipeline ACLs

Capacidade	SEM PERMISSÕES	PODE VER	PODE CORRER	PODE GERIR	É PROPRIETÁRIO
Exibir detalhes do pipeline e listar pipeline		x	x	x	x
Exibir a interface do usuário do Spark e os logs de driver		x	x	x	x
Iniciar e parar uma atualização de pipeline			x	x	x
Pare clusters de pipeline diretamente			x	x	x
Editar configurações de pipeline				x	x
Excluir o pipeline				x	x
Purgar execuções e experimentos				x	x
Modificar permissões				x	x

ACLs de tabelas de recursos

Esta tabela descreve como controlar o acesso a tabelas de recursos em espaços de trabalho que não estão habilitados para o Catálogo Unity. Se seu espaço de trabalho estiver habilitado para o Unity Catalog, use os privilégios do Unity Catalog em vez disso.

Nota

• O controle de acesso do Feature Store não controla o acesso à tabela Delta subjacente, que é governada pelo controle de acesso à tabela.
• Para obter mais informações sobre permissões de tabela de recursos de espaço de trabalho, consulte Controlar o acesso a tabelas de recursos no Repositório de Recursos de Espaço de Trabalho (legado).

Capacidade	PODE VISUALIZAR METADADOS	PODE EDITAR METADADOS	PODE GERIR
Ler tabela de funcionalidades	X	X	X
Tabela de recursos de pesquisa	X	X	X
Publicar tabela de recursos na loja online	X	X	X
Gravar recursos na tabela de recursos		X	X
Atualizar a descrição da tabela de recursos		X	X
Modificar permissões			X
Excluir tabela de recursos			X

ACLs de arquivo

Capacidade	SEM PERMISSÕES	PODE LER	PODE CORRER	PODE EDITAR	PODE GERIR
Ler ficheiro		x	x	x	x
Comentário		x	x	x	x
Anexar e desanexar arquivo			x	x	x
Executar arquivo interativamente			x	x	x
Editar ficheiro				x	x
Modificar permissões					x

ACLs de pasta

Capacidade	SEM PERMISSÕES	PODE LER	PODE EDITAR	PODE CORRER	PODE GERIR
Listar objetos na pasta	x	x	x	x	x
Exibir objetos na pasta		x	x	x	x
Clone e exporte itens			x	x	x
Executar objetos na pasta				x	x
Criar, importar e excluir itens					x
Mover e renomear itens					x
Modificar permissões					x

ACLs de espaço Genie

Capacidade	SEM PERMISSÕES	PODE VER/PODE EXECUTAR	PODE EDITAR	PODE GERIR
Ver na lista de espaços do Genie	x	x	x	x
Faça perguntas ao Genie		x	x	x
Fornecer feedback de resposta		x	x	x
Adicionar ou editar instruções do Genie			x	x
Adicionar ou editar exemplos de perguntas			x	x
Adicionar ou remover tabelas incluídas			x	x
Monitorizar um espaço				x
Modificar permissões				x
Excluir espaço				x
Ver conversas de outros utilizadores				x

ACLs da pasta Git

Capacidade	SEM PERMISSÕES	PODE LER	PODE CORRER	PODE EDITAR	PODE GERIR
Listar ativos em uma pasta	x	x	x	x	x
Exibir ativos em uma pasta		x	x	x	x
Clone e exporte ativos		x	x	x	x
Executar ativos executáveis na pasta			x	x	x
Editar e renomear ativos em uma pasta				x	x
Criar uma ramificação em uma pasta					x
Puxar ou empurrar uma ramificação para uma pasta					x
Criar, importar, excluir e mover ativos					x
Modificar permissões					x

ACLs de trabalho

Capacidade	SEM PERMISSÕES	PODE VER	PODE GERENCIAR A EXECUÇÃO	É PROPRIETÁRIO	PODE GERIR
Exibir detalhes e configurações do trabalho		x	x	x	x
Ver resultados		x	x	x	x
Exibir a interface do usuário do Spark, logs de uma execução de trabalho			x	x	x
Executar agora			x	x	x
Cancelar execução			x	x	x
Editar configurações de trabalho				x	x
Eliminar trabalho				x	x
Modificar permissões				x	x

ACLs de experimento MLflow

Capacidade	SEM PERMISSÕES	PODE LER	PODE EDITAR	PODE GERIR
Ver informações de execução pesquisa comparar execuções		x	x	x
Exibir, listar e baixar artefatos de execução		x	x	x
Criar, excluir e restaurar execuções			x	x
Registrar parâmetros de execução, métricas, tags			x	x
Artefatos de execução de log			x	x
Editar tags de experimento			x	x
Purgar execuções e experimentos				x
Modificar permissões				x

ACLs do modelo MLflow

Esta tabela descreve como controlar o acesso a modelos registrados em espaços de trabalho que não estão habilitados para o Unity Catalog. Se seu espaço de trabalho estiver habilitado para o Unity Catalog, use os privilégios do Unity Catalog em vez disso.

Capacidade	SEM PERMISSÕES	PODE LER	PODE EDITAR	PODE GERENCIAR VERSÕES DE PREPARO	PODE GERENCIAR VERSÕES DE PRODUÇÃO	PODE GERIR
Exibir detalhes do modelo, versões, solicitações de transição de estágio, atividades e URIs de download de artefato		x	x	x	x	x
Solicitar uma transição de estágio da versão do modelo		x	x	x	x	x
Adicionar uma versão a um modelo			x	x	x	x
Atualizar descrição do modelo e da versão			x	x	x	x
Adicionar ou editar tags			x	x	x	x
Versão do modelo de transição entre estágios				x	x	x
Aprovar uma solicitação de transição				x	x	x
Cancelar uma solicitação de transição						x
Renomear modelo						x
Modificar permissões						x
Excluir versões de modelo e modelo						x

Notebook ACLs

Capacidade	SEM PERMISSÕES	PODE LER	PODE CORRER	PODE EDITAR	PODE GERIR
Ver células		x	x	x	x
Comentário		x	x	x	x
Executar através de fluxos de trabalho %run ou notebooks		x	x	x	x
Anexar e desanexar blocos de notas			x	x	x
Executar comandos			x	x	x
Editar células				x	x
Modificar permissões					x

Pool ACLs

Capacidade	SEM PERMISSÕES	PODE ANEXAR A	PODE GERIR
Anexar cluster ao pool		x	x
Excluir pool			x
Editar pool			x
Modificar permissões			x

ACLs de consulta

Capacidade	SEM PERMISSÕES	PODE VER	PODE CORRER	PODE EDITAR	PODE GERIR
Ver consultas próprias		x	x	x	x
Ver na lista de consultas		x	x	x	x
Ver texto da consulta		x	x	x	x
Ver resultado da consulta		x	x	x	x
Atualizar o resultado da consulta (ou escolher parâmetros diferentes)			x	x	x
Incluir a consulta em um painel			x	x	x
Editar texto da consulta				x	x
Alterar o SQL warehouse ou a fonte de dados					x
Modificar permissões					x
Excluir consulta					x

ACLs secretas

Capacidade	LER	ESCREVER	GERIR
Leia o âmbito secreto	x	x	x
Listar segredos no escopo	x	x	x
Escrever no âmbito secreto		x	x
Modificar permissões			x

Servindo ACLs de endpoint

Capacidade	SEM PERMISSÕES	PODE VER	PODE CONSULTAR	PODE GERIR
Obter endpoint		x	x	x
Listar ponto de extremidade		x	x	x
Ponto de extremidade de consulta			x	x
Atualizar configuração do ponto de extremidade				x
Excluir ponto de extremidade				x
Modificar permissões				x

SQL warehouse ACLs

Capacidade	SEM PERMISSÕES	PODE USAR	PODE MONITORAR	É PROPRIETÁRIO	PODE GERIR
Iniciar o armazém		x	x	x	x
Ver detalhes do armazém		x	x	x	x
Ver consultas de armazém			x	x	x
Executar consultas		x	x	x	x
Ver separador de monitorização de armazém			x	x	x
Pare o armazém				x	x
Excluir o depósito				x	x
Editar o armazém				x	x
Modificar permissões				x	x

ACLs de ponto de extremidade de pesquisa vetorial

Capacidade	SEM PERMISSÕES	PODE CRIAR	PODE USAR	PODE GERIR
Obter endpoint		x	x	x
Listar pontos finais		x	x	x
Criar ponto de extremidade		x	x	x
Usar ponto de extremidade (criar índice)			x	x
Excluir ponto de extremidade				x
Modificar permissões				x