存取控制清單
本文內容
本文詳細說明不同工作區物件的可用權限。
存取控制清單概觀
在 Azure Databricks 中,您可以使用存取控制清單 (ACL) 來設定存取工作區層級物件的權限。 工作區管理員對其工作區中的所有物件上都具有 [可管理] 權限,這讓他們能夠管理工作區中所有物件的權限。 使用者會自動對其建立的物件擁有 [可管理] 權限。
如需如何將典型角色對應至工作區層級權限的範例,請參閱開始使用 Databricks 群組和權限的提案 。
使用資料夾管理存取控制清單
您可以透過將物件新增至資料夾,來管理工作區物件權限。 資料夾中的物件會繼承該資料夾的權限設定。 例如,在資料夾上具有 [可執行] 權限的使用者,對該資料夾中的警示具有 [可執行] 權限。
如果您授與使用者對資料夾內物件的存取權,即使他們沒有父資料夾的權限,也可以檢視父資料夾的名稱。 例如,名為 test1.py
的筆記本位於名為 Workflows
的資料夾。 如果您授與使用者對 test1.py
具有 [可讀取] 權限,但對 Workflows
[沒有權限],則使用者可以看到父資料夾的名稱為 Workflows
。 除非使用者已獲授與權限,否則無法檢視或存取 Workflows
資料夾中的任何其他物件。
若要了解如何將物件組織成資料夾,請參閱工作區瀏覽器 。
AI/BI 儀表板 ACL
能力
沒有權限
可檢視/可執行
可編輯
可管理
檢視儀表板和結果
x
x
x
與小工具互動
x
x
x
重新整理儀表板
x
x
x
編輯儀表板
x
x
複製儀表板
x
x
x
發佈儀表板快照
x
x
修改權限
x
刪除儀表板
x
警示 ACL
能力
沒有權限
可執行
可管理
在警示清單中查看
x
x
檢視警示和結果
x
x
手動觸發警示執行
x
x
訂閱通知
x
x
編輯警示
x
修改權限
x
刪除警示
x
計算 ACL
重要
具有 [可連結至] 權限的使用者可以檢視 log4j 檔案中的服務帳戶金鑰。 授與此權限等級時,請小心。
能力
沒有權限
可連結至
可重新啟動
可管理
將筆記本連結至計算
x
x
x
檢視 Spark UI
x
x
x
檢視計算計量
x
x
x
終止計算
x
x
啟動和重新啟動計算
x
x
檢視驅動程式記錄
x (請參閱附註)
編輯計算
x
將程式庫連結至計算
x
調整計算大小
x
修改權限
x
注意
系統不會從叢集的 Spark 驅動程式記錄 和 stdout
串流中修訂stderr
。 為了保護敏感性資料,Spark 驅動程式記錄預設只能由對工作具有 [可管理] 權限、單一使用者存取模式和共用存取模式叢集的使用者檢視。 若要允許具有 [可連結至] 或 [可重新啟動] 權限的使用者檢視這些叢集上的記錄,請在叢集設定中設定下列 Spark 組態屬性:spark.databricks.acl.needAdminPermissionToViewLogs false
。
在「無隔離共用存取模式叢集」上,Spark 驅動程式記錄可由具有 CAN ATTACH TO 或 CAN MANAGE 權限的使用者檢視。 若要限制只有具有 [可管理] 權限的使用者才能讀取記錄,請將 spark.databricks.acl.needAdminPermissionToViewLogs
設定為 true
。
請參閱 Spark 組態 ,以了解如何將 Spark 屬性新增至叢集組態。
舊版儀表板 ACL
能力
沒有權限
可檢視
可執行
可編輯
可管理
在儀表板清單中查看
x
x
x
x
檢視儀表板和結果
x
x
x
x
重新整理儀表板中的查詢結果 (或選擇不同的參數)
x
x
x
編輯儀表板
x
x
修改權限
x
刪除儀表板
x
編輯舊版儀表板需要執行 [以檢視人員身分執行] 共用設定。 請參閱重新整理行為和執行內容 。
Delta Live Tables 管線 ACL
能力
沒有權限
可檢視
可執行
可管理
是擁有者
檢視管線詳細資料和清單管線
x
x
x
x
檢視 Spark UI 和驅動程式記錄
x
x
x
x
啟動和停止管線更新
x
x
x
直接停止管線叢集
x
x
x
編輯管線設定
x
x
刪除管線
x
x
清除執行和實驗
x
x
修改權限
x
x
特徵資料表 ACL
下表說明如何控制對未啟用 Unity Catalog 的工作空間中的特徵資料表的存取權。 如果您的工作區已啟用 Unity Catalog,則請改用 Unity Catalog 權限 。
能力
可檢視中繼資料
可編輯中繼資料
可管理
讀取特徵資料表
X
X
X
搜尋特徵資料表
X
X
X
將特徵資料表發佈至線上商店
X
X
X
將特徵寫入特徵資料表
X
X
更新特徵資料表的描述
X
X
修改權限
X
刪除特徵資料表
X
檔案 ACL
能力
沒有權限
可讀取
可執行
可編輯
可管理
讀取檔案
x
x
x
x
註解
x
x
x
x
連結和中斷連結檔案
x
x
x
以互動方式執行檔案
x
x
x
編輯檔案
x
x
修改權限
x
資料夾 ACL
能力
沒有權限
可讀取
可編輯
可執行
可管理
列出資料夾中的物件
x
x
x
x
x
檢視資料夾中的物件
x
x
x
x
複製和匯出項目
x
x
x
執行資料夾中的物件
x
x
建立、匯入和刪除項目
x
移動和重新命名項目
x
修改權限
x
Genie 空間 ACL
能力
沒有權限
可檢視/可執行
可編輯
可管理
在 Genie 空間清單中查看
x
x
x
x
詢問 Genie 問題
x
x
x
提供回覆意見反應
x
x
x
新增或編輯 Genie 指令
x
x
新增或編輯範例問題
x
x
新增或移除包含的資料表
x
x
監視空間
x
修改權限
x
刪除空間
x
檢視其他使用者的對話
x
Git 資料夾 ACL
能力
沒有權限
可讀取
可執行
可編輯
可管理
列出資料夾中的資產
x
x
x
x
x
檢視資料夾中的資產
x
x
x
x
複製和匯出資產
x
x
x
x
執行資料夾中的可執行資產
x
x
x
編輯和重新命名資料夾中的資產
x
x
建立資料夾中的分支
x
接收或推送分支至資料夾
x
建立、匯入、刪除和移動資產
x
修改權限
x
工作 ACL
能力
沒有權限
可檢視
可管理執行
是擁有者
可管理
檢視工作詳細資料和設定
x
x
x
x
檢視結果
x
x
x
x
檢視 Spark UI、工作執行的記錄
x
x
x
立即執行
x
x
x
取消執行
x
x
x
編輯工作設定
x
x
刪除作業
x
x
修改權限
x
x
MLflow 實驗模型 ACL
MLflow 實驗的 ACL 在筆記本實驗和工作區實驗之間有所不同。 筆記本實驗無法脫離創建它們的筆記本單獨管理,因此其權限類似於筆記本的權限。 若要深入瞭解這兩種類型的實驗,請參閱 使用 MLflow 實驗組織訓練回合 。
筆記型電腦實驗的訪問控制列表
更改這些權限也會修改實驗相關筆記本的權限。
能力
沒有權限
可讀取
可執行
可編輯
可管理
檢視筆記本
x
x
x
x
筆記本上的批注
x
x
x
x
將筆記本連接/斷開計算設備
x
x
x
在筆記本中執行命令
x
x
x
編輯筆記本
x
x
修改權限
x
工作區實驗的存取控制清單(ACL)
能力
沒有權限
可讀取
可編輯
可管理
檢視實驗
x
x
x
記錄實驗過程中的執行運行
x
x
編輯實驗
x
x
刪除實驗
x
修改權限
x
MLflow 模型 ACL
下表說明如何控制對未啟用 Unity Catalog 的工作空間中的已註冊模型的存取權。 如果您的工作區已啟用 Unity Catalog,則請改用 Unity Catalog 權限 。
能力
沒有權限
可讀取
可編輯
可以管理預備版本
可以管理生產版本
可管理
檢視模型詳細資料、版本、階段轉換要求、活動和成品下載 URI
x
x
x
x
x
要求模型版本階段轉換
x
x
x
x
x
將版本新增至模型
x
x
x
x
更新模型和版本描述
x
x
x
x
新增或編輯標籤
x
x
x
x
階段之間的轉換模型版本
x
x
x
核准轉換要求
x
x
x
取消轉換要求
x
重新命名模型
x
修改權限
x
刪除模型和模型版本
x
筆記本 ACL
能力
沒有權限
可讀取
可執行
可編輯
可管理
檢視資料格
x
x
x
x
註解
x
x
x
x
使用 %run 或筆記本工作流程執行
x
x
x
x
連結和中斷連結筆記本
x
x
x
執行命令
x
x
x
編輯儲存格
x
x
修改權限
x
集區 ACL
能力
沒有權限
可連結至
可管理
將叢集連結至集區
x
x
刪除集區
x
編輯集區
x
修改權限
x
查詢 ACL
能力
沒有權限
可檢視
可執行
可編輯
可管理
檢視自己的查詢
x
x
x
x
在查詢清單中查看
x
x
x
x
檢視查詢文字
x
x
x
x
檢視查詢結果
x
x
x
x
重新整理查詢結果 (或選擇不同的參數)
x
x
x
將查詢包含在儀表板中
x
x
x
編輯查詢文字
x
x
變更 SQL 倉儲或資料來源
x
修改權限
x
刪除查詢
x
祕密 ACL
能力
READ
WRITE
管理
讀取祕密範圍
x
x
x
列出範圍中的祕密
x
x
x
寫入祕密範圍
x
x
修改權限
x
服務端點 ACL
能力
沒有權限
可檢視
可查詢
可管理
取得端點
x
x
x
列出端點
x
x
x
查詢端點
x
x
更新端點設定
x
刪除端點
x
修改權限
x
SQL 倉儲 ACL
能力
沒有權限
可使用
可監視
是擁有者
可管理
啟動倉儲
x
x
x
x
檢視倉儲詳細資料
x
x
x
x
檢視倉儲查詢
x
x
x
執行查詢
x
x
x
x
檢視倉儲監視索引標籤
x
x
x
停止倉儲
x
x
刪除倉儲
x
x
編輯倉儲
x
x
修改權限
x
x
向量搜尋端點 ACL
能力
沒有權限
CAN CREATE
可使用
可管理
取得端點
x
x
x
列出端點
x
x
x
建立端點
x
x
x
使用端點 (建立索引)
x
x
刪除端點
x
修改權限
x