Listor för åtkomstkontroll
Den här artikeln beskriver information om de behörigheter som är tillgängliga för de olika arbetsyteobjekten.
Kommentar
Åtkomstkontroll kräver Premium-planen.
Inställningar för åtkomstkontroll är inaktiverade som standard på arbetsytor som uppgraderas från standardplanen till Premium-planen. När en inställning för åtkomstkontroll har aktiverats kan den inte inaktiveras. Mer information finns i Åtkomstkontrollistor kan aktiveras på uppgraderade arbetsytor.
Översikt över åtkomstkontrollistor
I Azure Databricks kan du använda åtkomstkontrollistor (ACL: er) för att konfigurera behörighet att komma åt objekt på arbetsytenivå. Arbetsyteadministratörer har behörigheten CAN MANAGE för alla objekt på arbetsytan, vilket ger dem möjlighet att hantera behörigheter för alla objekt på sina arbetsytor. Användare har automatiskt behörigheten CAN MANAGE för objekt som de skapar.
Ett exempel på hur du mappar vanliga personer till behörigheter på arbetsytenivå finns i Förslag på Komma igång med Databricks-grupper och behörigheter.
Hantera åtkomstkontrollistor med mappar
Du kan hantera behörigheter för arbetsyteobjekt genom att lägga till objekt i mappar. Objekt i en mapp ärver alla behörighetsinställningar för den mappen. En användare som har behörigheten CAN RUN på en mapp har till exempel CAN RUN-behörighet för aviseringarna i mappen.
Om du grant en användares åtkomst till ett objekt i mappen kan de visa den överordnade mappens namn, även om de inte har behörighet för den överordnade mappen. En notebook-fil med namnet test1.py finns till exempel i en mapp med namnet Workflows. Om du grant en användare kan läsa på test1.py och inga behörigheter för Workflowskan användaren se att den överordnade mappen heter Workflows. Användaren kan inte visa eller komma åt andra objekt i Workflows mappen om de inte har beviljats behörighet för dem.
Mer information om hur du organiserar objekt i mappar finns i Webbläsaren Arbetsyta.
ACL:er för AI/BI-instrumentpanel
| Förmåga | INGA BEHÖRIGHETER | KAN VISA/KAN KÖRA | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|
| Visa instrumentpanel och resultat | x | x | x | |
| Interagera med widgetar | x | x | x | |
| Refresh instrumentpanelen | x | x | x | |
| Redigera instrumentpanel | x | x | ||
| Klona instrumentpanel | x | x | x | |
| Publicera ögonblicksbild av instrumentpanelen | x | x | ||
| Ändra behörigheter | x | |||
| Ta bort instrumentpanel | x |
ACL:er för aviseringar
| Förmåga | INGA BEHÖRIGHETER | KAN KÖRAS | KAN HANTERA |
|---|---|---|---|
| Se i varning list | x | x | |
| Visa avisering och resultat | x | x | |
| Utlösa aviseringskörning manuellt | x | x | |
| Prenumerera på aviseringar | x | x | |
| Redigera avisering | x | ||
| Ändra behörigheter | x | ||
| Ta bort avisering | x |
Beräknings-ACL:er
Viktigt!
Användare med CAN ATTACH TO-behörigheter kan visa tjänstkontonycklarna i log4j-filen. Var försiktig när du beviljar den här behörighetsnivån.
| Förmåga | INGA BEHÖRIGHETER | KAN KOPPLAS TILL | KAN STARTA OM | KAN HANTERA |
|---|---|---|---|---|
| Koppla notebook-fil till beräkning | x | x | x | |
| Visa Spark-användargränssnitt | x | x | x | |
| Visa beräkningsmått | x | x | x | |
| Avsluta beräkning | x | x | ||
| Starta och starta om beräkning | x | x | ||
| Visa drivrutinsloggar | x (se anmärkning) | |||
| Redigera beräkning | x | |||
| Bifoga bibliotek till beräkning | x | |||
| Ändra storlek på beräkning | x | |||
| Ändra behörigheter | x |
Kommentar
Hemligheter redigeras inte från ett klusters Spark-drivrutinslogg stdout och stderr -strömmar. För att skydda känsliga data kan Spark-drivrutinsloggar som standard endast visas av användare med CAN MANAGE-behörighet för jobb, åtkomstläge för en användare och kluster för delat åtkomstläge. Om du vill tillåta att användare med behörigheten CAN ATTACH TO eller CAN RESTART visar loggarna i dessa kluster set följande Spark-konfigurationsegenskap i klusterkonfigurationen: spark.databricks.acl.needAdminPermissionToViewLogs false.
På kluster för delat åtkomstläge utan isolering kan Spark-drivrutinsloggarna visas av användare med behörigheten KAN KOPPLA TILL eller KAN HANTERA. För limit som kan läsa loggar endast för användare med CAN MANAGE-behörigheten, setspark.databricks.acl.needAdminPermissionToViewLogs till true.
Se Spark-konfiguration för att lära dig hur du lägger till Spark-egenskaper i en klusterkonfiguration.
ACL:er för äldre instrumentpaneler
| Förmåga | INGA BEHÖRIGHETER | KAN VISA | KAN KÖRAS | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| Se list på instrumentpanelen | x | x | x | x | |
| Visa instrumentpanel och resultat | x | x | x | x | |
| Refresh sökresultat på instrumentpanelen (eller välj ett annat parameters) | x | x | x | ||
| Redigera instrumentpanel | x | x | |||
| Ändra behörigheter | x | ||||
| Ta bort instrumentpanel | x |
Redigering av en äldre instrumentpanel kräver delningsinställningen Kör som visningsprogram . Se Refresh beteende och körningskontext.
Delta Live Tables pipeline-ACL:er
| Förmåga | INGA BEHÖRIGHETER | KAN VISA | KAN KÖRAS | KAN HANTERA | ÄR ÄGARE |
|---|---|---|---|---|---|
| Visa pipelineinformation och list pipeline | x | x | x | x | |
| Visa Spark-användargränssnitt och drivrutinsloggar | x | x | x | x | |
| Starta och stoppa en pipeline update | x | x | x | ||
| Stoppa pipelinekluster direkt | x | x | x | ||
| Redigera pipelineinställningar | x | x | |||
| Ta bort pipelinen | x | x | |||
| Rensa körningar och experiment | x | x | |||
| Ändra behörigheter | x | x |
funktion tables ACL:er
Den här table beskriver hur du styr åtkomsten till funktion tables på arbetsytor som inte är aktiverade för Unity Catalog. Om arbetsytan är aktiverad för Unity Cataloganvänder du Unity Catalog behörigheter i stället.
Kommentar
- Åtkomstkontrollen för Feature Store styr inte åtkomsten till den underliggande Delta table, som styrs av table åtkomstkontroll.
- Mer information om arbetsytefunktioner table behörigheter finns i Kontrollera åtkomst till funktion tables i Funktionsarkiv för arbetsytor (äldre).
| Förmåga | KAN VISA METADATA | KAN REDIGERA METADATA | KAN HANTERA |
|---|---|---|---|
| Läs funktion table | X | X | X |
| Sökfunktion table | X | X | X |
| Publicera funktion table till onlinebutiken | X | X | X |
| Skriv egenskaper till funktion table | X | X | |
| Update beskrivning av funktion table | X | X | |
| Ändra behörigheter | X | ||
| Ta bort funktion table | X |
Fil-ACL:er
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN KÖRAS | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| Läs fil | x | x | x | x | |
| Kommentar | x | x | x | x | |
| Bifoga och koppla från fil | x | x | x | ||
| Kör filen interaktivt | x | x | x | ||
| Redigera fil | x | x | |||
| Ändra behörigheter | x |
ACL:er för mapp
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN REDIGERA | KAN KÖRAS | KAN HANTERA |
|---|---|---|---|---|---|
| List objekt i mappen | x | x | x | x | x |
| Visa objekt i mappen | x | x | x | x | |
| Klona och exportera objekt | x | x | x | ||
| Köra objekt i mappen | x | x | |||
| Skapa, importera och ta bort objekt | x | ||||
| Flytta och byt namn på objekt | x | ||||
| Ändra behörigheter | x |
Genie space ACL:er
| Förmåga | INGA BEHÖRIGHETER | KAN VISA/KAN KÖRA | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|
| Se i Genie space list | x | x | x | x |
| Ställ frågor till Genie | x | x | x | |
| Ge feedback om svar | x | x | x | |
| Lägga till eller redigera Genie-instruktioner | x | x | ||
| Lägga till eller redigera exempelfrågor | x | x | ||
| Lägg till eller inkludera removetables | x | x | ||
| Övervaka ett blanksteg | x | |||
| Ändra behörigheter | x | |||
| Ta bort utrymme | x | |||
| Visa andra användares konversationer | x |
ACL:er för Git-mapp
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN KÖRAS | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| List tillgångar i en mapp | x | x | x | x | x |
| Visa tillgångar i en mapp | x | x | x | x | |
| Klona och exportera tillgångar | x | x | x | x | |
| Köra körbara tillgångar i mappen | x | x | x | ||
| Redigera och byta namn på tillgångar i en mapp | x | x | |||
| Skapa en gren i en mapp | x | ||||
| Hämta eller push-överföra en gren till en mapp | x | ||||
| Skapa, importera, ta bort och flytta tillgångar | x | ||||
| Ändra behörigheter | x |
Jobb-ACL:er
| Förmåga | INGA BEHÖRIGHETER | KAN VISA | KAN HANTERA KÖRNING | ÄR ÄGARE | KAN HANTERA |
|---|---|---|---|---|---|
| Visa jobbinformation och inställningar | x | x | x | x | |
| Visa resultat | x | x | x | x | |
| Visa Spark-användargränssnittet, loggar för en jobbkörning | x | x | x | ||
| Kör nu | x | x | x | ||
| Avbryt körning | x | x | x | ||
| Redigera jobbinställningar | x | x | |||
| Ta bort jobb | x | x | |||
| Ändra behörigheter | x | x |
ACL:er för MLflow-experiment
ACL:er för MLflow-experiment skiljer sig åt för notebook-experiment och arbetsyteexperiment. Notebook-experiment kan inte hanteras oberoende av anteckningsboken som skapade dem, så behörigheterna liknar notebook-behörigheter. Mer information om de två typerna av experiment finns i Organisera träningskörningar med MLflow-experiment.
ACL:er för notebook-experiment
Om du ändrar dessa behörigheter ändras även behörigheterna för notebook-filen som motsvarar experimentet.
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN KÖRAS | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| Visa anteckningsbok | x | x | x | x | |
| Kommentera anteckningsbok | x | x | x | x | |
| Anslut/koppla från notebook för beräkning | x | x | x | ||
| Köra kommandon i notebooken | x | x | x | ||
| Redigera anteckningsbok | x | x | |||
| Ändra behörigheter | x |
ACL:er för arbetsyteexperiment
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|
| Visa experiment | x | x | x | |
| Logga körningar till experimentet | x | x | ||
| Redigera experimentet | x | x | ||
| Ta bort experimentet | x | |||
| Ändra behörigheter | x |
ACL:er för MLflow-modell
Den här table beskriver hur du styr åtkomsten till registrerade modeller på arbetsytor som inte är aktiverade för Unity Catalog. Om arbetsytan är aktiverad för Unity Cataloganvänder du Unity Catalog behörigheter i stället.
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN REDIGERA | KAN HANTERA MELLANLAGRINGSVERSIONER | KAN HANTERA PRODUKTIONSVERSIONER | KAN HANTERA |
|---|---|---|---|---|---|---|
| Visa modellinformation, versioner, scenövergångsbegäranden, aktiviteter och URI:er för artefaktnedladdning | x | x | x | x | x | |
| Begära en modellversionsstegövergång | x | x | x | x | x | |
| Lägga till en version i en modell | x | x | x | x | ||
| Update modell- och versionsbeskrivning | x | x | x | x | ||
| Lägga till eller redigera taggar | x | x | x | x | ||
| Övergångsmodellversion mellan faser | x | x | x | |||
| Godkänna en övergångsbegäran | x | x | x | |||
| Avbryta en övergångsbegäran | x | |||||
| Byt namn på modell | x | |||||
| Ändra behörigheter | x | |||||
| Ta bort modell- och modellversioner | x |
ACL:er för notebook-filer
| Förmåga | INGA BEHÖRIGHETER | KAN LÄSA | KAN KÖRAS | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| Visa celler | x | x | x | x | |
| Kommentar | x | x | x | x | |
| Köra med %run- eller notebook-arbetsflöden | x | x | x | x | |
| Koppla och koppla från anteckningsböcker | x | x | x | ||
| Kör kommandon | x | x | x | ||
| Redigera celler | x | x | |||
| Ändra behörigheter | x |
Pool-ACL:er
| Förmåga | INGA BEHÖRIGHETER | KAN KOPPLAS TILL | KAN HANTERA |
|---|---|---|---|
| Koppla kluster till pool | x | x | |
| Ta bort pool | x | ||
| Redigera pool | x | ||
| Ändra behörigheter | x |
Fråga ACL:er
| Förmåga | INGA BEHÖRIGHETER | KAN VISA | KAN KÖRAS | KAN REDIGERA | KAN HANTERA |
|---|---|---|---|---|---|
| Visa egna frågor | x | x | x | x | |
| Se i fråga list | x | x | x | x | |
| Visa frågetext | x | x | x | x | |
| Visa frågeresultat | x | x | x | x | |
| Refresh frågeresultat (eller välj olika parameters) | x | x | x | ||
| Inkludera frågan på en instrumentpanel | x | x | x | ||
| Redigera frågetext | x | x | |||
| Ändra SQL-lager eller datakälla | x | ||||
| Ändra behörigheter | x | ||||
| Ta bort fråga | x |
Hemliga ACL:er
| Förmåga | LÄS | SKRIVA | HANTERA |
|---|---|---|---|
| Läs hemlighetsomfånget | x | x | x |
| List hemligheter i omfånget | x | x | x |
| Skriva till hemlighetsomfånget | x | x | |
| Ändra behörigheter | x |
Serverslutpunkts-ACL:er
| Förmåga | INGA BEHÖRIGHETER | KAN VISA | KAN FRÅGA | KAN HANTERA |
|---|---|---|---|---|
| Get slutpunkt | x | x | x | |
| List slutpunkt | x | x | x | |
| Frågeslutpunkt | x | x | ||
| Update ändpunktskonfiguration | x | |||
| Ta bort slutpunkt | x | |||
| Ändra behörigheter | x |
ACL:er för SQL-lager
| Förmåga | INGA BEHÖRIGHETER | KAN ANVÄNDA | KAN ÖVERVAKA | ÄR ÄGARE | KAN HANTERA |
|---|---|---|---|---|---|
| Starta lagret | x | x | x | x | |
| Visa information om information om informationslager | x | x | x | x | |
| Visa informationslagerfrågor | x | x | x | ||
| Köra frågor | x | x | x | x | |
| Visa informationslagerövervakningsflik | x | x | x | ||
| Stoppa lagret | x | x | |||
| Ta bort informationslagret | x | x | |||
| Redigera informationslagret | x | x | |||
| Ändra behörigheter | x | x |
ACL:er för vektorsökningsslutpunkt
| Förmåga | INGA BEHÖRIGHETER | KAN SKAPA | KAN ANVÄNDA | KAN HANTERA |
|---|---|---|---|---|
| Get slutpunkt | x | x | x | |
| List slutpunkter | x | x | x | |
| Skapa slutpunkt | x | x | x | |
| Använda slutpunkt (skapa index) | x | x | ||
| Ta bort slutpunkt | x | |||
| Ändra behörigheter | x |