Listor för åtkomstkontroll
Den här artikeln beskriver information om de behörigheter som är tillgängliga för de olika arbetsyteobjekten.
Kommentar
Åtkomstkontroll kräver Premium-planen.
Inställningar för åtkomstkontroll är inaktiverade som standard på arbetsytor som uppgraderas från standardplanen till Premium-planen. När en inställning för åtkomstkontroll har aktiverats kan den inte inaktiveras. För ytterligare information, se Åtkomstkontrollistor kan aktiveras i uppgraderade arbetsytor.
Översikt över åtkomstkontrollistor
I Azure Databricks kan du använda åtkomstkontrollistor (ACL: er) för att konfigurera behörighet att komma åt objekt på arbetsytenivå. Arbetsyteadministratörer har behörigheten CAN MANAGE för alla objekt på arbetsytan, vilket ger dem möjlighet att hantera behörigheter för alla objekt på sina arbetsytor. Användare har automatiskt behörigheten CAN MANAGE för objekt som de skapar.
Ett exempel på hur du mappar vanliga personer till behörigheter på arbetsytenivå finns i Förslag på Komma igång med Databricks-grupper och behörigheter.
Hantera åtkomstkontrollistor med mappar
Du kan hantera behörigheter för arbetsyteobjekt genom att lägga till objekt i mappar. Objekt i en mapp ärver alla behörighetsinställningar för den mappen. En användare som har behörigheten CAN RUN på en mapp har till exempel CAN RUN-behörighet för aviseringarna i mappen.
Om du ger en användare åtkomst till ett objekt i mappen kan de visa den överordnade mappens namn, även om de inte har behörighet för den överordnade mappen. En notebook-fil med namnet test1.py finns till exempel i en mapp med namnet Workflows. Om du beviljar en användare läsrättigheter på test1.py och inga behörigheter på Workflows, kan användaren se att den överordnade mappen heter Workflows. Användaren kan inte visa eller komma åt andra objekt i Workflows mappen om de inte har beviljats behörighet för dem.
För att lära dig om att organisera objekt i mappar, se Arbetsytans webbläsare.
ACL:er för AI/BI-instrumentpanel
| Förmåga | INGA BEHÖRIGHETER | KAN SE/KAN KÖRA | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|
| Visa instrumentpanel och resultat | x | x | x | |
| Interagera med widgetar | x | x | x | |
| Uppdatera instrumentpanelen | x | x | x | |
| Redigera instrumentpanel | x | x | ||
| Klona panel | x | x | x | |
| Publicera ögonblicksbild av instrumentpanelen | x | x | ||
| Ändra behörigheter | x | |||
| Ta bort instrumentpanel | x |
ACL:er för aviseringar
| Förmåga | INGA BEHÖRIGHETER | KAN KÖRA | KAN HANTERA |
|---|---|---|---|
| Se i larmlistan | x | x | |
| Visa avisering och resultat | x | x | |
| Manuell utlösning av larmsprocess | x | x | |
| Prenumerera på aviseringar | x | x | |
| Redigera avisering | x | ||
| Ändra behörigheter | x | ||
| Ta bort avisering | x |
Beräknings-ACL:er
Viktigt!
Användare med CAN ATTACH TO-behörigheter kan visa tjänstkontonycklarna i log4j-filen. Var försiktig när du beviljar den här behörighetsnivån.
| Förmåga | INGA BEHÖRIGHETER | KAN KOPPLAS TILL | KAN STARTA OM | KAN HANTERA |
|---|---|---|---|---|
| Anslut notebook till beräkning | x | x | x | |
| Visa Spark-användargränssnitt | x | x | x | |
| Visa beräkningsmått | x | x | x | |
| Avsluta beräkning | x | x | ||
| Starta och starta om beräkning | x | x | ||
| Visa drivrutinsloggar | x (se anmärkning) | |||
| Redigera beräkning | x | |||
| Bifoga bibliotek för beräkning | x | |||
| Ändra storlek på beräkningsresurser | x | |||
| Ändra behörigheter | x |
Kommentar
Hemligheter tas inte bort i en klusters Spark-loggdrivrutin stdout och stderr-strömmar. För att skydda känsliga data kan Spark-drivrutinsloggar som standard endast visas av användare med CAN MANAGE-behörighet för jobb, dedikerat åtkomstläge och kluster för standardåtkomstläge. Om du vill tillåta användare med behörigheten CAN ATTACH TO eller CAN RESTART att visa loggarna i dessa kluster anger du följande Spark-konfigurationsegenskap i klusterkonfigurationen: spark.databricks.acl.needAdminPermissionToViewLogs false.
På kluster för delat åtkomstläge utan isolering kan Spark-drivrutinsloggarna visas av användare med behörigheten KAN KOPPLA TILL eller KAN HANTERA. Om du vill begränsa vem som kan läsa loggarna till endast användare med behörigheten CAN MANAGE anger du spark.databricks.acl.needAdminPermissionToViewLogs till true.
Se Spark-konfiguration för att lära dig hur du lägger till Spark-egenskaper i en klusterkonfiguration.
Legacy ACL:er för instrumentpaneler
| Förmåga | INGA TILLÅTELSER | KAN TITTA | KAN KÖRAS | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| Se i instrumentpanelslistan | x | x | x | x | |
| Visa instrumentpanel och resultat | x | x | x | x | |
| Uppdatera frågeresultatet på instrumentpanelen (eller välj olika parametrar) | x | x | x | ||
| Redigera instrumentpanel | x | x | |||
| Ändra behörigheter | x | ||||
| Ta bort instrumentpanel | x |
Redigering av en äldre instrumentpanel kräver delningsinställningen Kör som visningsprogram . Se även Uppdatera beteende och körningskontext.
DLT-pipeline-åtkomstkontroller
| Förmåga | INGA BEHÖRIGHETER | KAN VISA | KAN KÖRA | KAN HANTERA | ÄR ÄGARE |
|---|---|---|---|---|---|
| Visa detaljer för pipelines och lista pipelines | x | x | x | x | |
| Visa Spark-användargränssnitt och drivrutinsloggar | x | x | x | x | |
| Starta och stoppa en pipeline-uppdatering | x | x | x | ||
| Stoppa pipelinekluster direkt | x | x | x | ||
| Redigera pipelineinställningar | x | x | |||
| Ta bort pipelinen | x | x | |||
| Rensa körningar och experiment | x | x | |||
| Ändra behörigheter | x | x |
ACL-listor för egenskapstabeller
Den här tabellen beskriver hur du styr åtkomsten till funktionstabeller på arbetsytor som inte är aktiverade för Unity Catalog. Om din arbetsyta är aktiverad för Unity Catalog använder du Unity-katalogbehörigheter i stället.
Kommentar
- Åtkomstkontrollen för Feature Store styr inte åtkomsten till den underliggande Delta-tabellen, vilken styrs av tabellåtkomstkontroll.
- Mer information om behörigheter för arbetsytans funktionstabeller finns i Kontrollera åtkomsten till funktionstabeller i Arbetsytans funktionslager (äldre).
| Förmåga | KAN VISA METADATA | KAN REDIGERA METADATA | KAN HANTERA |
|---|---|---|---|
| Läs funktionstabell | X | X | X |
| Sökfunktionstabell | X | X | X |
| Publicera funktionstabell för webbutik | X | X | X |
| Skriva funktioner till funktionstabell | X | X | |
| Uppdatera beskrivning av funktionstabell | X | X | |
| Ändra behörigheter | X | ||
| Ta bort funktionstabell | X |
Fil-ACLs
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN KÖRAS | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| Läs fil | x | x | x | x | |
| Kommentar | x | x | x | x | |
| Bifoga och koppla bort fil | x | x | x | ||
| Kör filen interaktivt | x | x | x | ||
| Redigera fil | x | x | |||
| Ändra behörigheter | x |
ACL:er för mapp
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN REDIGERA | KAN KÖRA | KAN HANTERA |
|---|---|---|---|---|---|
| Visa en lista över objekt i mappen | x | x | x | x | x |
| Visa objekt i mappen | x | x | x | x | |
| Klona och exportera objekt | x | x | x | ||
| Kör objekt i mappen | x | x | |||
| Skapa, importera och ta bort objekt | x | ||||
| Flytta och byt namn på objekt | x | ||||
| Ändra behörigheter | x |
Genie space åtkomstkontrollistor
| Förmåga | INGA BEHÖRIGHETER | KAN VISA/KAN KÖRA | KAN REDIGERA | KAN STYRA |
|---|---|---|---|---|
| Se i Genie-utrymmeslistan | x | x | x | x |
| Ställ frågor till Genie | x | x | x | |
| Ge feedback om svar | x | x | x | |
| Lägga till eller redigera Genie-instruktioner | x | x | ||
| Lägga till eller redigera exempelfrågor | x | x | ||
| Lägga till eller ta bort inkluderade tabeller | x | x | ||
| Övervaka ett utrymme | x | |||
| Ändra behörigheter | x | |||
| Ta bort utrymme | x | |||
| Visa andra användares konversationer | x | x |
ACL:er för Git-mapp
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN KÖRA | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| Visa en lista över tillgångar i en mapp | x | x | x | x | x |
| Visa tillgångar i en mapp | x | x | x | x | |
| Klona och exportera tillgångar | x | x | x | x | |
| Köra körbara filer i mappen | x | x | x | ||
| Redigera och byta namn på tillgångar i en mapp | x | x | |||
| Skapa en gren i en mapp | x | ||||
| Hämta eller överföra en gren till en mapp | x | ||||
| Skapa, importera, ta bort och flytta tillgångar | x | ||||
| Ändra behörigheter | x |
Jobb-ACL:er
| Förmåga | INGA BEHÖRIGHETER | KAN VISA | KAN HANTERA KÖRNING | ÄR ÄGARE | KAN HANTERA |
|---|---|---|---|---|---|
| Visa jobbinformation och inställningar | x | x | x | x | |
| Visa resultat | x | x | x | x | |
| Visa Spark-användargränssnittet, jobbkörningens loggar | x | x | x | ||
| Kör nu | x | x | x | ||
| Stoppa processen | x | x | x | ||
| Redigera jobbinställningar | x | x | |||
| Ta bort jobb | x | x | |||
| Ändra behörigheter | x | x |
ACL:er för MLflow-experiment
ACL:er för MLflow-experiment skiljer sig åt för notebook-experiment och arbetsyteexperiment. Notebook-experiment kan inte hanteras oberoende av anteckningsboken som skapade dem, så behörigheterna liknar notebook-behörigheter. Mer information om de två typerna av experiment finns i Organisera träningskörningar med MLflow-experiment.
ACL:er för notebook-experiment
Om du ändrar dessa behörigheter ändras även behörigheterna för notebook-filen som motsvarar experimentet.
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN KÖRAS | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| Visa anteckningsbok | x | x | x | x | |
| Kommentera i anteckningsboken | x | x | x | x | |
| Anslut/koppla bort bärbar dator till dator | x | x | x | ||
| Köra kommandon i notebooken | x | x | x | ||
| Redigera anteckningsbok | x | x | |||
| Ändra behörigheter | x |
ACL:er för arbetsyteexperiment
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|
| Visa experiment | x | x | x | |
| Logga körningar till experimentet | x | x | ||
| Redigera experimentet | x | x | ||
| Ta bort experimentet | x | |||
| Ändra behörigheter | x |
ACL:er för MLflow-modell
Den här tabellen beskriver hur du styr åtkomsten till registrerade modeller på arbetsytor som inte är aktiverade för Unity Catalog. Om din arbetsyta är aktiverad för Unity Catalog använder du Unity-katalogbehörigheter i stället.
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN REDIGERA | KAN HANTERA TESTVERSIONER | KAN HANTERA PRODUKTIONSVERSIONER | KAN HANTERA |
|---|---|---|---|---|---|---|
| Visa modellinformation, versioner, scenövergångsbegäranden, aktiviteter och URI:er för artefaktnedladdning | x | x | x | x | x | |
| Begära en modellversionsstegövergång | x | x | x | x | x | |
| Lägga till en version i en modell | x | x | x | x | ||
| Beskrivning av uppdateringsmodell och version | x | x | x | x | ||
| Lägga till eller redigera taggar | x | x | x | x | ||
| Övergångsmodellversion mellan faser | x | x | x | |||
| Godkänna en övergångsbegäran | x | x | x | |||
| Avbryta en övergångsbegäran | x | |||||
| Byt namn på modell | x | |||||
| Ändra behörigheter | x | |||||
| Ta bort modell- och modellversioner | x |
ACL:er för notebook-filer
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN KÖRAS | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| Visa celler | x | x | x | x | |
| Kommentar | x | x | x | x | |
| Köra med %run- eller notebook-arbetsflöden | x | x | x | x | |
| Anslut och koppla bort anteckningsböcker | x | x | x | ||
| Kör kommandon | x | x | x | ||
| Redigera celler | x | x | |||
| Ändra behörigheter | x |
ACL-listor för pooler
| Förmåga | INGA BEHÖRIGHETER | KAN KOPPLAS TILL | KAN HANTERA |
|---|---|---|---|
| Koppla kluster till pool | x | x | |
| Ta bort pool | x | ||
| Redigera pool | x | ||
| Ändra behörigheter | x |
Fråga ACL:er
| Förmåga | INGA BEHÖRIGHETER | KAN VISA | KAN KÖRAS | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| Visa egna frågor | x | x | x | x | |
| Se i frågelistan | x | x | x | x | |
| Visa frågetext | x | x | x | x | |
| Visa frågeresultat | x | x | x | x | |
| Uppdatera frågeresultatet (eller välj olika parametrar) | x | x | x | ||
| Inkludera sökfrågan i en instrumentpanel | x | x | x | ||
| Redigera frågetext | x | x | |||
| Ändra SQL-lager eller datakälla | x | ||||
| Ändra behörigheter | x | ||||
| Ta bort fråga | x |
Hemliga ACL:er
| Förmåga | LÄS | SKRIVA | HANTERA |
|---|---|---|---|
| Läs hemlighetsomfånget | x | x | x |
| Lista hemligheter i omfånget | x | x | x |
| Skriv till det hemliga omfånget | x | x | |
| Ändra behörigheter | x |
Tjänstslutpunkts-ACL:er
| Förmåga | INGA BEHÖRIGHETER | KAN VISA | KAN FRÅGA | KAN HANTERA |
|---|---|---|---|---|
| Hämta slutpunkt | x | x | x | |
| Lista slutpunkt | x | x | x | |
| Frågeslutpunkt | x | x | ||
| Uppdatera slutpunktskonfiguration | x | |||
| Ta bort slutpunkt | x | |||
| Ändra behörigheter | x |
ACL:er för SQL-lager
| Förmåga | INGA ÅTKOMSTRÄTTIGHETER | KAN ANVÄNDA | KAN ÖVERVAKA | ÄR ÄGARE | KAN HANTERA |
|---|---|---|---|---|---|
| Aktivera lagersystemet | x | x | x | x | |
| Visa lagerdetaljer | x | x | x | x | |
| Visa lagersökningar | x | x | x | ||
| Köra sökfrågor | x | x | x | x | |
| Visa lagerövervakningsflik | x | x | x | ||
| Stoppa verksamheten i lagret | x | x | |||
| Ta bort lagret | x | x | |||
| Redigera informationslagret | x | x | |||
| Ändra behörigheter | x | x |
ACL:er för vektorsökningsslutpunkt
| Förmåga | INGA BEHÖRIGHETER | KAN SKAPA | KAN ANVÄNDA | KAN HANTERA |
|---|---|---|---|---|
| Hämta slutpunkt | x | x | x | |
| Lista slutpunkter | x | x | x | |
| Skapa slutpunkt | x | x | x | |
| Använda slutpunkt (skapa index) | x | x | ||
| Ta bort slutpunkt | x | |||
| Ändra behörigheter | x |