Поделиться через

Доступ к спискам управления

  • Статья

В этой статье описываются сведения о разрешениях, доступных для различных объектов рабочей области.

Примечание.

Для управления доступом требуется план Premium.

Параметры управления доступом отключены по умолчанию для рабочих областей, которые обновляются с плана "Стандартный" до плана "Премиум". После включения параметра управления доступом его нельзя отключить. Дополнительные сведения см. в списках элементов управления доступом, которые можно включить в обновленных рабочих областях.

Обзор списков управления доступом

В Azure Databricks можно использовать списки управления доступом (ACL) для настройки разрешений на доступ к объектам уровня рабочей области. Администраторы рабочей области имеют разрешение CAN MANAGE для всех объектов в рабочей области, что дает им возможность управлять разрешениями для всех объектов в своих рабочих областях. У пользователей автоматически есть разрешение CAN MANAGE для создаваемых объектов.

Пример сопоставления типичных пользователей с разрешениями уровня рабочей области см. в предложении по началу работы с группами и разрешениями Databricks.

Управление списками управления доступом с помощью папок

Вы можете управлять разрешениями объектов рабочей области, добавляя объекты в папки. Объекты в папке наследуют все параметры разрешений этой папки. Например, пользователь с разрешением CAN RUN в папке имеет разрешение CAN RUN для оповещений в этой папке.

Если пользователь предоставляет доступ к объекту внутри папки, он может просмотреть имя родительской папки, даже если у них нет разрешений на родительскую папку. Например, записная книжка с именем test1.py находится в папке с именем Workflows. Если пользователь МОЖЕТ ЧИТАТЬ test1.py и не имеет разрешений Workflows, пользователь может увидеть, что родительская папка называется Workflows. Пользователь не может просматривать и получать доступ к другим объектам в папке Workflows , если они не были предоставлены им разрешения.

Сведения об организации объектов в папках см . в браузере рабочей области.

Списки ACL панели мониторинга ИИ/BI

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN VIEW/CAN RUN МОЖЕТ ИЗМЕНИТЬ МОЖЕТ УПРАВЛЯТЬ
Просмотр панели мониторинга и результатов x x x
Взаимодействие с мини-приложениями x x x
Обновление панели мониторинга x x x
Изменение панели мониторинга x x
Клонирование панели мониторинга x x x
Публикация моментального снимка панели мониторинга x x
Изменение разрешений x
Удаление панели мониторинга x

Списки управления доступом оповещений

Замечайте способности* НЕТ РАЗРЕШЕНИЙ МОЖЕТ ВЫПОЛНЯТЬСЯ МОЖЕТ УПРАВЛЯТЬ
Отображение в списке предупреждений x x
Просмотр оповещения и результата x x
Запуск оповещения вручную x x
Подписка на уведомления x x
Изменение оповещения x
Изменение разрешений x
Удаление оповещения x

Списки управления доступом вычислений

Внимание

Пользователи с разрешениями CAN ATTACH TO могут просматривать ключи учетной записи службы в файле log4j. При предоставлении разрешений такого уровня следует соблюдать осторожность.

Замечайте способности* НЕТ РАЗРЕШЕНИЙ МОЖЕТ ПОДКЛЮЧИТЬСЯ К МОЖЕТ ПЕРЕЗАПУСТИТЬ МОЖЕТ УПРАВЛЯТЬ
Подключение записной книжки к вычислительным ресурсам x x x
Просмотреть пользовательский интерфейс Spark x x x
Просмотр метрик вычислений x x x
Завершение вычислений x x
Запуск и перезапуск вычислений x x
Просмотр журналов драйверов x (см. примечание)
Изменение вычислительных ресурсов x
Присоединение библиотеки к вычислительным ресурсам x
Изменение размера вычислений x
Изменение разрешений x

Примечание.

Секреты не редактируются из журнала stdout и stderr потоков драйвера Spark кластера. Для защиты конфиденциальных данных журналы драйверов Spark по умолчанию доступны только пользователям с разрешением CAN MANAGE для задания, режима доступа одного пользователя и кластеров общего доступа. Чтобы разрешить пользователям с разрешением CAN ATTACH TO или CAN RESTART просматривать журналы в этих кластерах, задайте в конфигурации кластера следующее свойство конфигурации Spark: spark.databricks.acl.needAdminPermissionToViewLogs false

В кластерах режимов общего доступа без изоляции журналы драйверов Spark могут просматриваться пользователями с разрешением на ПОДКЛЮЧЕНИЕ или разрешением на УПРАВЛЕНИЕ. Чтобы ограничить, кто может считывать журналы только пользователям с разрешением CAN MANAGE, установите значение spark.databricks.acl.needAdminPermissionToViewLogs true.

Сведения о добавлении свойств Spark в конфигурацию кластера см. в разделе Конфигурация Spark.

Устаревшие списки управления доступом на панели мониторинга

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN VIEW МОЖЕТ ВЫПОЛНЯТЬСЯ МОЖЕТ ИЗМЕНИТЬ МОЖЕТ УПРАВЛЯТЬ
Просмотр списка панелей мониторинга x x x x
Просмотр панели мониторинга и результатов x x x x
Обновление результатов запроса на панели мониторинга (или выбор других параметров) x x x
Изменение панели мониторинга x x
Изменение разрешений x
Удаление панели мониторинга x

Для редактирования устаревшей панели мониторинга требуется параметр общего доступа средства просмотра запуска от имени. См . раздел "Поведение обновления" и контекст выполнения.

Списки управления доступом к конвейеру разностных динамических таблиц

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN VIEW МОЖЕТ ВЫПОЛНЯТЬСЯ МОЖЕТ УПРАВЛЯТЬ ВЛАДЕЛЕЦ
Просмотр сведений о конвейере и конвейере списка x x x x
Просмотр журналов пользовательского интерфейса и драйверов Spark x x x x
Запуск и завершение обновления конвейера x x x
Прямой запрет кластеров конвейера x x x
Редактирование параметров конвейера x x
Удаление конвейера x x
Очистка запусков и экспериментов x x
Изменение разрешений x x

Списки управления доступом к таблицам компонентов

В этой таблице описывается, как управлять доступом к таблицам компонентов в рабочих областях, которые не включены для каталога Unity. Если рабочая область включена для каталога Unity, используйте вместо этого привилегии каталога Unity.

Примечание.

Замечайте способности* МОЖЕТ ПРОСМАТРИВАТЬ МЕТАДАННЫЕ МОЖЕТ ИЗМЕНЯТЬ МЕТАДАННЫЕ МОЖЕТ УПРАВЛЯТЬ
Чтение таблицы функций X X X
Поиск в таблице функций X X X
Публикация таблицы функций в интернет-магазине X X X
Запись функций в таблицу функций X X
Обновление описания таблицы функций X X
Изменение разрешений X
Удаление таблицы функций X

Списки управления доступом к файлам

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN READ МОЖЕТ ВЫПОЛНЯТЬСЯ МОЖЕТ ИЗМЕНИТЬ МОЖЕТ УПРАВЛЯТЬ
Чтение файла x x x x
Комментарий x x x x
Присоединение и отключение файла x x x
Интерактивный запуск файла x x x
Edit file (Изменить файл) x x
Изменение разрешений x

Списки управления доступом к папкам

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN READ МОЖЕТ ИЗМЕНИТЬ МОЖЕТ ВЫПОЛНЯТЬСЯ МОЖЕТ УПРАВЛЯТЬ
Вывод списка объектов в папке x x x x x
Просмотр объектов в папке x x x x
Клонирование и экспорт элементов x x x
Запуск объектов в папке x x
Создание, импорт и удаление элементов x
Перемещение и переименование элементов x
Изменение разрешений x

Списки ACL пространства Genie

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN VIEW/CAN RUN МОЖЕТ ИЗМЕНИТЬ МОЖЕТ УПРАВЛЯТЬ
См. список пространства Genie x x x x
Задать вопросы Genie x x x
Предоставление обратной связи по ответу x x x
Добавление или изменение инструкций Genie x x
Добавление или изменение примеров вопросов x x
Добавление или удаление включенных таблиц x x
Мониторинг пространства x
Изменение разрешений x
Удаление пространства x
Просмотр бесед других пользователей x

Списки управления доступом к папкам Git

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN READ МОЖЕТ ВЫПОЛНЯТЬСЯ МОЖЕТ ИЗМЕНИТЬ МОЖЕТ УПРАВЛЯТЬ
Вывод списка ресурсов в папке x x x x x
Просмотр ресурсов в папке x x x x
Клонирование и экспорт ресурсов x x x x
Запуск исполняемых ресурсов в папке x x x
Изменение и переименование ресурсов в папке x x
Создание ветви в папке x
Извлечение или отправить ветвь в папку x
Создание, импорт, удаление и перемещение ресурсов x
Изменение разрешений x

Списки управления доступом заданий

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN VIEW МОЖЕТ УПРАВЛЯТЬ ЗАПУСКОМ ВЛАДЕЛЕЦ МОЖЕТ УПРАВЛЯТЬ
Просмотр сведений о задании и параметров x x x x
Показать результаты x x x x
Просмотр пользовательского интерфейса Spark, журналы выполнения задания x x x
Запустить сейчас x x x
Отмена запуска x x x
Изменение настроек задания x x
Удаление задания x x
Изменение разрешений x x

Списки управления доступом к эксперименту MLflow

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN READ МОЖЕТ ИЗМЕНИТЬ МОЖЕТ УПРАВЛЯТЬ
Просмотр запусков сравнения сведений о выполнении поиска x x x
Просмотр, получение списка и скачивание артефактов запуска x x x
Создание, удаление и восстановление запусков x x
Ведение журнала параметров запуска журнала, метрик и тегов x x
Ведение журнала артефактов запуска x x
Изменение тегов эксперимента x x
Очистка запусков и экспериментов x
Изменение разрешений x

Списки ACL модели MLflow

В этой таблице описывается, как управлять доступом к зарегистрированным моделям в рабочих областях, которые не включены для каталога Unity. Если рабочая область включена для каталога Unity, используйте вместо этого привилегии каталога Unity.

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN READ МОЖЕТ ИЗМЕНИТЬ МОЖЕТ УПРАВЛЯТЬ ПРОМЕЖУТОЧНЫМИ ВЕРСИЯМИ МОЖЕТ УПРАВЛЯТЬ РАБОЧИМИ ВЕРСИЯМИ МОЖЕТ УПРАВЛЯТЬ
Просмотр сведений о модели, ее версий, запросов на изменение этапа, действий и URI скачивания артефактов x x x x x
Запрос на изменение этапа для версии модели x x x x x
Добавление версии в модель x x x x
Обновление модели и описания версии x x x x
Добавление или изменение тегов x x x x
Изменение этапа для версии модели x x x
Утверждение запроса на переход x x x
Отмена запроса на переход x
Переименование модели x
Изменение разрешений x
Удаление модели и версий модели x

Списки управления доступом к записной книжке

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN READ МОЖЕТ ВЫПОЛНЯТЬСЯ МОЖЕТ ИЗМЕНИТЬ МОЖЕТ УПРАВЛЯТЬ
Просмотр ячеек x x x x
Комментарий x x x x
Запуск через %run или рабочие процессы записной книжки x x x x
Подключение и отключение записных книжек x x x
Выполнение команд x x x
Редактирование ячеек x x
Изменение разрешений x

Списки управления доступом к пулу

Замечайте способности* НЕТ РАЗРЕШЕНИЙ МОЖЕТ ПОДКЛЮЧИТЬСЯ К МОЖЕТ УПРАВЛЯТЬ
Подключение кластера к пулу x x
Удаление пула x
Изменение пула x
Изменение разрешений x

Запрос списков управления доступом

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN VIEW МОЖЕТ ВЫПОЛНЯТЬСЯ МОЖЕТ ИЗМЕНИТЬ МОЖЕТ УПРАВЛЯТЬ
Просмотр собственных запросов x x x x
См. в списке запросов x x x x
Просмотреть текст запроса x x x x
Просмотреть результат запроса x x x x
Обновление результаты запроса (или выбор других параметров) x x x
Добавление запроса на панель мониторинга x x x
Редактирование текста запроса x x
Изменение хранилища SQL или источника данных x
Изменение разрешений x
запрос «Удаление» x

Списки ACL секретов

Замечайте способности* ЧИТАТЬ ЗАПИСЬ УПРАВЛЕНИЕ
Чтение области секрета x x x
Вывод списка секретов в области x x x
Запись в область секрета x x
Изменение разрешений x

Предоставление списков управления доступом конечных точек

Замечайте способности* НЕТ РАЗРЕШЕНИЙ CAN VIEW CAN QUERY МОЖЕТ УПРАВЛЯТЬ
Получение конечной точки x x x
Вывод списка конечных точек x x x
Конечная точка запроса x x
Обновление конфигурации конечной точки x
Удаление конечной точки x
Изменение разрешений x

Списки управления доступом к хранилищу SQL

Замечайте способности* НЕТ РАЗРЕШЕНИЙ МОЖЕТ ИСПОЛЬЗОВАТЬ CAN MONITOR ВЛАДЕЛЕЦ МОЖЕТ УПРАВЛЯТЬ
Запуск хранилища x x x x
Просмотр сведений о хранилище x x x x
Просмотр запросов хранилища x x x
Выполнение запросов x x x x
Просмотр вкладки "Мониторинг хранилища" x x x
Остановка хранилища x x
Удаление хранилища x x
Изменение хранилища x x
Изменение разрешений x x

Списки управления доступом конечных точек поиска векторов

Замечайте способности* НЕТ РАЗРЕШЕНИЙ МОЖЕТ СОЗДАТЬ МОЖЕТ ИСПОЛЬЗОВАТЬ МОЖЕТ УПРАВЛЯТЬ
Получение конечной точки x x x
Вывод списка конечных точек x x x
Создать конечную точку x x x
Использование конечной точки (создание индекса) x x
Удаление конечной точки x
Изменение разрешений x