访问控制列表
本文详细介绍了可用于不同工作区对象的权限。
访问控制列表概述
在 Azure Databricks 中,可以使用访问控制列表 (ACL) 配置权限以访问工作区级别对象。 工作区管理员对其工作区中的所有对象具有 CAN MANAGE 权限,这使他们能够管理其工作区中所有对象的权限。 用户对其创建的对象自动拥有 CAN MANAGE 权限。
有关如何将典型角色映射到工作区级权限的示例,请参阅 Databricks 组和权限入门建议。
使用文件夹管理访问控制列表
可以通过向文件夹添加对象来管理工作区对象权限。 文件夹中的对象继承该文件夹的所有权限设置。 例如,对某个文件夹拥有 CAN RUN 权限的用户会对该文件夹中的警报拥有 CAN RUN 权限。
如果向用户授予对文件夹中某个对象的访问权限,用户即使没有对父文件夹的权限,仍然可以查看父文件夹的名称。 例如,名为 test1.py
笔记本的笔记本位于名为 Workflows
的文件夹中。 如果向用户授予对 test1.py
的 CAN READ 权限,但不授予对 Workflows
的任何权限,则用户可以看到父文件夹名为 Workflows
。 用户无法查看或访问 Workflows
文件夹中的任何其他对象,除非向其授予对这些对象的权限。
要了解如何将对象组织到文件夹中,请参阅工作区浏览器。
AI/BI 仪表板 ACL
能力 |
无权限 |
可查看/可运行 |
可编辑 |
可管理 |
查看仪表板和结果 |
|
x |
x |
x |
与小组件交互 |
|
x |
x |
x |
刷新仪表板 |
|
x |
x |
x |
编辑仪表板 |
|
|
x |
x |
克隆仪表板 |
|
x |
x |
x |
发布仪表板快照 |
|
|
x |
x |
修改权限 |
|
|
|
x |
删除仪表板 |
|
|
|
x |
警报 ACL
能力 |
无权限 |
可运行 |
可管理 |
在警报列表中查看 |
|
x |
x |
查看警报和结果 |
|
x |
x |
手动触发警报运行 |
|
x |
x |
订阅通知 |
|
x |
x |
编辑警报 |
|
|
x |
修改权限 |
|
|
x |
删除警报 |
|
|
x |
计算 ACL
重要
具有“可附加到”权限的用户可以在 log4j 文件中查看服务帐户密钥。 授予此权限级别时请务必小心。
能力 |
无权限 |
可附加到 |
可重启 |
可管理 |
将笔记本附加到计算 |
|
x |
x |
x |
查看 Spark UI |
|
x |
x |
x |
查看计算指标 |
|
x |
x |
x |
终止计算 |
|
|
x |
x |
启动和重启计算 |
|
|
x |
x |
查看驱动程序日志 |
|
|
|
x (查看注释) |
编辑计算 |
|
|
|
x |
将库附加到计算 |
|
|
|
x |
调整计算大小 |
|
|
|
x |
修改权限 |
|
|
|
x |
注意
不会从群集的 Spark 驱动程序日志 stdout
和 stderr
流中修订机密。 为了保护敏感数据,默认情况下,只有由对作业、单用户访问模式和共享访问模式群集具有“CAN MANAGE”权限的用户才能查看 Spark 驱动程序日志。 若要允许具有“CAN ATTACH TO”或“CAN RESTART”权限的用户查看这些群集上的日志,请在群集配置中设置以下 Spark 配置属性:spark.databricks.acl.needAdminPermissionToViewLogs false
。
在“无隔离共享”访问模式群集上,具有“CAN ATTACH TO”或“CAN MANAGE”权限的用户可以查看 Spark 驱动程序日志。 若要限制只有具有“CAN MANAGE”权限的用户才能读取日志,请将 spark.databricks.acl.needAdminPermissionToViewLogs
设置为 true
。
请参阅 Spark 配置来了解如何将 Spark 属性添加到群集配置。
旧版仪表板 ACL
能力 |
无权限 |
可查看 |
可运行 |
CAN EDIT |
可管理 |
在仪表板列表中查看 |
|
x |
x |
x |
x |
查看仪表板和结果 |
|
x |
x |
x |
x |
在仪表板中刷新查询结果(或选择不同的参数) |
|
|
x |
x |
x |
编辑仪表板 |
|
|
|
x |
x |
修改权限 |
|
|
|
|
x |
删除仪表板 |
|
|
|
|
x |
编辑旧版仪表板需要“以查看者身份运行”共享设置。 请参阅刷新行为和执行上下文。
增量实时表管道 ACL
能力 |
无权限 |
可查看 |
可运行 |
可管理 |
为所有者 |
查看管道详细信息并列出管道 |
|
x |
x |
x |
x |
查看 Spark UI 和驱动程序日志 |
|
x |
x |
x |
x |
启动和停止管道更新 |
|
|
x |
x |
x |
直接停止管道群集 |
|
|
x |
x |
x |
编辑管道设置 |
|
|
|
x |
x |
删除管道 |
|
|
|
x |
x |
清除运行和试验 |
|
|
|
x |
x |
修改权限 |
|
|
|
x |
x |
特征表 ACL
此表描述了如何控制对未为 Unity Catalog 启用的工作区中的特征表的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限。
能力 |
可查看元数据 |
可编辑元数据 |
可管理 |
读取特征表 |
X |
X |
X |
搜索特征表 |
X |
X |
X |
将特征表发布到联机存储 |
X |
X |
X |
将特征写入特征表 |
|
X |
X |
更新特征表的说明 |
|
X |
X |
修改权限 |
|
|
X |
删除特征表 |
|
|
X |
文件 ACL
能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
CAN MANAGE |
读取文件 |
|
x |
x |
x |
x |
注释 |
|
x |
x |
x |
x |
附加和分离文件 |
|
|
x |
x |
x |
以交互方式运行文件 |
|
|
x |
x |
x |
编辑文件 |
|
|
|
x |
x |
修改权限 |
|
|
|
|
x |
文件夹 ACL
能力 |
无权限 |
可读取 |
可编辑 |
可运行 |
可管理 |
列出文件夹中的对象 |
x |
x |
x |
x |
x |
查看文件夹中的对象 |
|
x |
x |
x |
x |
克隆和导出项 |
|
|
x |
x |
x |
运行文件夹中运行对象 |
|
|
|
x |
x |
创建、导入和删除项 |
|
|
|
|
x |
移动和重命名项 |
|
|
|
|
x |
修改权限 |
|
|
|
|
x |
Genie 空间 ACL
能力 |
无权限 |
可查看/可运行 |
可编辑 |
CAN MANAGE |
在 Genie 空间列表中查看 |
x |
x |
x |
x |
向 Genie 提问 |
|
x |
x |
x |
提供回复反馈 |
|
x |
x |
x |
添加或编辑 Genie 指令 |
|
|
x |
x |
添加或编辑示例问题 |
|
|
x |
x |
添加或删除包含的表 |
|
|
x |
x |
监视空间 |
|
|
|
x |
修改权限 |
|
|
|
x |
删除空间 |
|
|
|
x |
查看其他用户的对话 |
|
|
|
x |
Git 文件夹 ACL
能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
CAN MANAGE |
列出文件夹中的资产 |
x |
x |
x |
x |
x |
查看文件夹中的资产 |
|
x |
x |
x |
x |
克隆和导出资产 |
|
x |
x |
x |
x |
在文件夹中运行可执行资产 |
|
|
x |
x |
x |
编辑和重命名文件夹中的资产 |
|
|
|
x |
x |
在文件夹中创建分支 |
|
|
|
|
x |
拉取分支或将分支推送到文件夹中 |
|
|
|
|
x |
创建、导入、删除和移动资产 |
|
|
|
|
x |
修改权限 |
|
|
|
|
x |
作业 ACL
能力 |
无权限 |
可查看 |
可管理运行 |
是所有者 |
可管理 |
查看作业详细信息及设置 |
|
x |
x |
x |
x |
查看结果 |
|
x |
x |
x |
x |
查看 Spark UI,作业运行的日志 |
|
|
x |
x |
x |
立即运行 |
|
|
x |
x |
x |
取消运行 |
|
|
x |
x |
x |
编辑作业设置 |
|
|
|
x |
x |
删除作业 |
|
|
|
x |
x |
修改权限 |
|
|
|
x |
x |
MLflow 试验 ACL
能力 |
无权限 |
可读取 |
可编辑 |
可管理 |
查看运行信息、搜索、比较运行 |
|
x |
x |
x |
查看、列出和下载运行项目 |
|
x |
x |
x |
创建、删除和还原运行 |
|
|
x |
x |
记录运行参数、指标、标记 |
|
|
x |
x |
记录运行项目 |
|
|
x |
x |
编辑试验标记 |
|
|
x |
x |
清除运行和试验 |
|
|
|
x |
修改权限 |
|
|
|
x |
MLflow 模型 ACL
此表描述了如何控制对未为 Unity Catalog 启用的工作区中的注册模型的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限。
能力 |
无权限 |
可读取 |
可编辑 |
可管理暂存版本 |
可管理生产版本 |
可管理 |
查看模型详细信息、版本、阶段转换请求、活动以及项目下载 URI |
|
x |
x |
x |
x |
x |
请求模型版本阶段转换 |
|
x |
x |
x |
x |
x |
向模型添加版本 |
|
|
x |
x |
x |
x |
更新模型和版本说明 |
|
|
x |
x |
x |
x |
添加或编辑标签 |
|
|
x |
x |
x |
x |
在阶段之间转换模型版本 |
|
|
|
x |
x |
x |
批准转换请求 |
|
|
|
x |
x |
x |
取消转换请求 |
|
|
|
|
|
x |
重命名模型 |
|
|
|
|
|
x |
修改权限 |
|
|
|
|
|
x |
删除模型和模型版本 |
|
|
|
|
|
x |
笔记本 ACL
能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
可管理 |
查看单元 |
|
x |
x |
x |
x |
注释 |
|
x |
x |
x |
x |
通过 %run 或笔记本工作流来运行 |
|
x |
x |
x |
x |
附加和分离笔记本 |
|
|
x |
x |
x |
运行命令 |
|
|
x |
x |
x |
编辑单元 |
|
|
|
x |
x |
修改权限 |
|
|
|
|
x |
池 ACL
能力 |
无权限 |
可附加到 |
可管理 |
将群集附加到池 |
|
x |
x |
删除池 |
|
|
x |
编辑池 |
|
|
x |
修改权限 |
|
|
x |
查询 ACL
能力 |
无权限 |
可查看 |
可运行 |
CAN EDIT |
可管理 |
查看自己的查询 |
|
x |
x |
x |
x |
在查询列表中查看 |
|
x |
x |
x |
x |
查看查询文本 |
|
x |
x |
x |
x |
查看查询结果 |
|
x |
x |
x |
x |
刷新查询结果(或选择其他参数) |
|
|
x |
x |
x |
在仪表板中包含查询 |
|
|
x |
x |
x |
编辑查询文本 |
|
|
|
x |
x |
更改 SQL 仓库或数据源 |
|
|
|
|
x |
修改权限 |
|
|
|
|
x |
删除查询 |
|
|
|
|
x |
机密 ACL
能力 |
READ |
WRITE |
管理 |
读取机密范围 |
x |
x |
x |
列出保管库中的机密 |
x |
x |
x |
写入机密范围 |
|
x |
x |
修改权限 |
|
|
x |
服务终结点 ACL
能力 |
无权限 |
可查看 |
可查询 |
可管理 |
获取终结点 |
|
x |
x |
x |
列出终结点 |
|
x |
x |
x |
查询终结点 |
|
|
x |
x |
更新终结点配置 |
|
|
|
x |
删除终结点 |
|
|
|
x |
修改权限 |
|
|
|
x |
SQL 仓库 ACL
能力 |
无权限 |
可使用 |
CAN MONITOR |
是所有者 |
可管理 |
启动仓库 |
|
x |
x |
x |
x |
查看仓库详细信息 |
|
x |
x |
x |
x |
查看仓库查询 |
|
|
x |
x |
x |
运行查询 |
|
x |
x |
x |
x |
查看仓库的监视选项卡 |
|
|
x |
x |
x |
停止仓库 |
|
|
|
x |
x |
删除仓库 |
|
|
|
x |
x |
编辑仓库 |
|
|
|
x |
x |
修改权限 |
|
|
|
x |
x |
矢量搜索终结点 ACL
能力 |
无权限 |
CAN CREATE |
可以使用 |
可管理 |
获取终结点 |
|
x |
x |
x |
列出终结点 |
|
x |
x |
x |
创建终结点 |
|
x |
x |
x |
使用终结点(创建索引) |
|
|
x |
x |
删除终结点 |
|
|
|
x |
修改权限 |
|
|
|
x |