共用方式為


存取控制清單

本文詳細說明不同工作區物件的可用權限。

注意

存取控制需要進階方案

預設會在從標準方案升級至進階方案的工作區上停用存取控制設定。 啟用存取控制設定之後,就無法停用。 如需詳細資訊,請參閱您可以在升級的工作區上啟用存取控制清單

存取控制清單概觀

在 Azure Databricks 中,您可以使用存取控制清單 (ACL) 來設定存取工作區層級物件的權限。 工作區管理員對其工作區中的所有物件上都具有 [可管理] 權限,這讓他們能夠管理工作區中所有物件的權限。 使用者會自動對其建立的物件擁有 [可管理] 權限。

如需如何將典型角色對應至工作區層級權限的範例,請參閱開始使用 Databricks 群組和權限的提案

使用資料夾管理存取控制清單

您可以透過將物件新增至資料夾,來管理工作區物件權限。 資料夾中的物件會繼承該資料夾的權限設定。 例如,在資料夾上具有 [可執行] 權限的使用者,對該資料夾中的警示具有 [可執行] 權限。

如果您授與使用者對資料夾內物件的存取權,即使他們沒有父資料夾的權限,也可以檢視父資料夾的名稱。 例如,名為 test1.py 的筆記本位於名為 Workflows 的資料夾。 如果您授與使用者對 test1.py 具有 [可讀取] 權限,但對 Workflows [沒有權限],則使用者可以看到父資料夾的名稱為 Workflows。 除非使用者已獲授與權限,否則無法檢視或存取 Workflows 資料夾中的任何其他物件。

若要了解如何將物件組織成資料夾,請參閱工作區瀏覽器

AI/BI 儀表板 ACL

能力 沒有權限 可檢視/可執行 可編輯 可管理
檢視儀表板和結果 x x x
與小工具互動 x x x
重新整理儀表板 x x x
編輯儀表板 x x
複製儀表板 x x x
發佈儀表板快照 x x
修改權限 x
刪除儀表板 x

警示 ACL

能力 沒有權限 可執行 可管理
在警示清單中查看 x x
檢視警示和結果 x x
手動觸發警示執行 x x
訂閱通知 x x
編輯警示 x
修改權限 x
刪除警示 x

計算 ACL

重要

具有 [可連結至] 權限的使用者可以檢視 log4j 檔案中的服務帳戶金鑰。 授與此權限等級時,請小心。

能力 沒有權限 可連結至 可重新啟動 可管理
將筆記本連結至計算 x x x
檢視 Spark UI x x x
檢視計算計量 x x x
終止計算 x x
啟動和重新啟動計算 x x
檢視驅動程式記錄 x (請參閱附註)
編輯計算 x
將程式庫連結至計算 x
調整計算大小 x
修改權限 x

注意

系統不會從叢集的 Spark 驅動程式記錄 stdout 串流中修訂stderr。 為了保護敏感性資料,Spark 驅動程式記錄預設只能由對工作具有 [可管理] 權限、單一使用者存取模式和共用存取模式叢集的使用者檢視。 若要允許具有 [可連結至] 或 [可重新啟動] 權限的使用者檢視這些叢集上的記錄,請在叢集設定中設定下列 Spark 組態屬性:spark.databricks.acl.needAdminPermissionToViewLogs false

在「無隔離共用存取模式叢集」上,Spark 驅動程式記錄可由具有 CAN ATTACH TO 或 CAN MANAGE 權限的使用者檢視。 若要限制只有具有 [可管理] 權限的使用者才能讀取記錄,請將 spark.databricks.acl.needAdminPermissionToViewLogs 設定為 true

請參閱 Spark 組態,以了解如何將 Spark 屬性新增至叢集組態。

舊版儀表板 ACL

能力 沒有權限 可檢視 可執行 可編輯 可管理
在儀表板清單中查看 x x x x
檢視儀表板和結果 x x x x
重新整理儀表板中的查詢結果 (或選擇不同的參數) x x x
編輯儀表板 x x
修改權限 x
刪除儀表板 x

編輯舊版儀表板需要執行 [以檢視人員身分執行] 共用設定。 請參閱重新整理行為和執行內容

Delta Live Tables 管線 ACL

能力 沒有權限 可檢視 可執行 可管理 是擁有者
檢視管線詳細資料和清單管線 x x x x
檢視 Spark UI 和驅動程式記錄 x x x x
啟動和停止管線更新 x x x
直接停止管線叢集 x x x
編輯管線設定 x x
刪除管線 x x
清除執行和實驗 x x
修改權限 x x

特徵資料表 ACL

下表說明如何控制對未啟用 Unity Catalog 的工作空間中的特徵資料表的存取權。 如果您的工作區已啟用 Unity Catalog,則請改用 Unity Catalog 權限

注意

能力 可檢視中繼資料 可編輯中繼資料 可管理
讀取特徵資料表 X X X
搜尋特徵資料表 X X X
將特徵資料表發佈至線上商店 X X X
將特徵寫入特徵資料表 X X
更新特徵資料表的描述 X X
修改權限 X
刪除特徵資料表 X

檔案 ACL

能力 沒有權限 可讀取 可執行 可編輯 可管理
讀取檔案 x x x x
註解 x x x x
連結和中斷連結檔案 x x x
以互動方式執行檔案 x x x
編輯檔案 x x
修改權限 x

資料夾 ACL

能力 沒有權限 可讀取 可編輯 可執行 可管理
列出資料夾中的物件 x x x x x
檢視資料夾中的物件 x x x x
複製和匯出項目 x x x
執行資料夾中的物件 x x
建立、匯入和刪除項目 x
移動和重新命名項目 x
修改權限 x

Genie 空間 ACL

能力 沒有權限 可檢視/可執行 可編輯 可管理
在 Genie 空間清單中查看 x x x x
詢問 Genie 問題 x x x
提供回覆意見反應 x x x
新增或編輯 Genie 指令 x x
新增或編輯範例問題 x x
新增或移除包含的資料表 x x
監視空間 x
修改權限 x
刪除空間 x
檢視其他使用者的對話 x

Git 資料夾 ACL

能力 沒有權限 可讀取 可執行 可編輯 可管理
列出資料夾中的資產 x x x x x
檢視資料夾中的資產 x x x x
複製和匯出資產 x x x x
執行資料夾中的可執行資產 x x x
編輯和重新命名資料夾中的資產 x x
建立資料夾中的分支 x
接收或推送分支至資料夾 x
建立、匯入、刪除和移動資產 x
修改權限 x

工作 ACL

能力 沒有權限 可檢視 可管理執行 是擁有者 可管理
檢視工作詳細資料和設定 x x x x
檢視結果 x x x x
檢視 Spark UI、工作執行的記錄 x x x
立即執行 x x x
取消執行 x x x
編輯工作設定 x x
刪除作業 x x
修改權限 x x

MLflow 實驗模型 ACL

MLflow 實驗的 ACL 在筆記本實驗和工作區實驗之間有所不同。 筆記本實驗無法脫離創建它們的筆記本單獨管理,因此其權限類似於筆記本的權限。 若要深入瞭解這兩種類型的實驗,請參閱 使用 MLflow 實驗組織訓練回合

筆記型電腦實驗的訪問控制列表

更改這些權限也會修改實驗相關筆記本的權限。

能力 沒有權限 可讀取 可執行 可編輯 可管理
檢視筆記本 x x x x
筆記本上的批注 x x x x
將筆記本連接/斷開計算設備 x x x
在筆記本中執行命令 x x x
編輯筆記本 x x
修改權限 x

工作區實驗的存取控制清單(ACL)

能力 沒有權限 可讀取 可編輯 可管理
檢視實驗 x x x
記錄實驗過程中的執行運行 x x
編輯實驗 x x
刪除實驗 x
修改權限 x

MLflow 模型 ACL

下表說明如何控制對未啟用 Unity Catalog 的工作空間中的已註冊模型的存取權。 如果您的工作區已啟用 Unity Catalog,則請改用 Unity Catalog 權限

能力 沒有權限 可讀取 可編輯 可以管理預備版本 可以管理生產版本 可管理
檢視模型詳細資料、版本、階段轉換要求、活動和成品下載 URI x x x x x
要求模型版本階段轉換 x x x x x
將版本新增至模型 x x x x
更新模型和版本描述 x x x x
新增或編輯標籤 x x x x
階段之間的轉換模型版本 x x x
核准轉換要求 x x x
取消轉換要求 x
重新命名模型 x
修改權限 x
刪除模型和模型版本 x

筆記本 ACL

能力 沒有權限 可讀取 可執行 可編輯 可管理
檢視資料格 x x x x
註解 x x x x
使用 %run 或筆記本工作流程執行 x x x x
連結和中斷連結筆記本 x x x
執行命令 x x x
編輯儲存格 x x
修改權限 x

集區 ACL

能力 沒有權限 可連結至 可管理
將叢集連結至集區 x x
刪除集區 x
編輯集區 x
修改權限 x

查詢 ACL

能力 沒有權限 可檢視 可執行 可編輯 可管理
檢視自己的查詢 x x x x
在查詢清單中查看 x x x x
檢視查詢文字 x x x x
檢視查詢結果 x x x x
重新整理查詢結果 (或選擇不同的參數) x x x
將查詢包含在儀表板中 x x x
編輯查詢文字 x x
變更 SQL 倉儲或資料來源 x
修改權限 x
刪除查詢 x

祕密 ACL

能力 READ WRITE 管理
讀取祕密範圍 x x x
列出範圍中的祕密 x x x
寫入祕密範圍 x x
修改權限 x

服務端點 ACL

能力 沒有權限 可檢視 可查詢 可管理
取得端點 x x x
列出端點 x x x
查詢端點 x x
更新端點設定 x
刪除端點 x
修改權限 x

SQL 倉儲 ACL

能力 沒有權限 可使用 可監視 是擁有者 可管理
啟動倉儲 x x x x
檢視倉儲詳細資料 x x x x
檢視倉儲查詢 x x x
執行查詢 x x x x
檢視倉儲監視索引標籤 x x x
停止倉儲 x x
刪除倉儲 x x
編輯倉儲 x x
修改權限 x x

向量搜尋端點 ACL

能力 沒有權限 CAN CREATE 可使用 可管理
取得端點 x x x
列出端點 x x x
建立端點 x x x
使用端點 (建立索引) x x
刪除端點 x
修改權限 x