Freigeben über


Zugriffssteuerungslisten

In diesem Artikel werden Details zu den Berechtigungen beschrieben, die für die verschiedenen Arbeitsbereichsobjekte verfügbar sind.

Hinweis

Für die Zugriffssteuerung ist der Premium-Plan erforderlich.

Zugriffssteuerungseinstellungen sind standardmäßig für Arbeitsbereiche deaktiviert, die vom Standardplan auf den Premium-Plan aktualisiert werden. Sobald eine Zugriffssteuerungseinstellung aktiviert ist, kann sie nicht deaktiviert werden. Weitere Informationen finden Sie unter Zugriffssteuerungslisten, die für aktualisierte Arbeitsbereicheaktiviert werden können.

Übersicht über Zugriffssteuerungslisten

In Azure Databricks können Sie Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um die Berechtigung für den Zugriff auf Objekte auf der Arbeitsbereichsebene zu konfigurieren. Arbeitsbereichsadministratoren verfügen über die Verwaltungsberechtigung für alle Objekte in ihrem Arbeitsbereich und können somit Berechtigungen für alle Objekte in ihren Arbeitsbereichen verwalten. Benutzer verfügen für von ihnen erstellte Objekte automatisch über die Verwaltungsberechtigung.

Ein Beispiel für die Zuordnung typischer Personas zu Berechtigungen auf Arbeitsbereichsebene finden Sie unter Vorschlag für die ersten Schritte mit Databricks-Gruppen und -Berechtigungen.

Verwalten von Zugriffssteuerungslisten mit Ordnern

Sie können Arbeitsbereichsobjektberechtigungen verwalten, indem Sie Objekte Ordnern hinzufügen. Objekte in einem Ordner erbt alle Berechtigungseinstellungen dieses Ordners. So verfügen beispielsweise Benutzer mit Ausführungsberechtigung für einen Ordner auch über die Ausführungsberechtigung für die Warnungen in diesem Ordner.

Wenn Sie einem Benutzer Zugriff auf ein Objekt innerhalb des Ordners gewähren, kann er den Namen des übergeordneten Ordners anzeigen, auch wenn er nicht über Berechtigungen für den übergeordneten Ordner verfügt. Beispielsweise befindet sich ein Notebook mit dem Namen test1.py in einem Ordner mit dem Namen Workflows. Wenn Sie einem Benutzer CAN READ für test1.py erteilen und keine Berechtigungen für Workflows erteilen, kann der Benutzer sehen, dass der übergeordnete Ordner den Namen Workflows hat. Der Benutzer kann keine anderen Objekte im Ordner Workflows anzeigen oder darauf zugreifen, es sei denn, ihm wurden Berechtigungen erteilt.

Informationen zur Strukturierung von Objekten in Ordnern finden Sie unter Arbeitsbereichsbrowser.

AI/BI-Dashboard-ACLs

Qualifikationen KEINE BERECHTIGUNGEN KANN ANZEIGEN/KANN AUSFÜHREN KANN BEARBEITEN KANN VERWALTEN
Dashboard und Ergebnisse anzeigen x x x
Interagieren mit Widgets x x x
Aktualisieren des Dashboards x x x
Bearbeiten des Dashboards x x
Klonen des Dashboards x x x
Dashboardmomentaufnahme veröffentlichen x x
Berechtigungen ändern x
Dashboard löschen x

Zugriffssteuerungslisten für Warnungen

Qualifikationen KEINE BERECHTIGUNGEN KANN AUSFÜHREN KANN VERWALTEN
In Warnungsliste anzeigen x x
Warnung und Ergebnis anzeigen x x
Warnungsausführung manuell auslösen x x
Abonnieren von Benachrichtigungen x x
Warnung bearbeiten x
Berechtigungen ändern x
Warnung löschen x

Zugriffssteuerungslisten für Computeressourcen

Wichtig

Benutzer mit der Berechtigung KANN ANFÜGEN können die Dienstkontoschlüssel in der log4j-Datei anzeigen. Erteilen Sie diese Berechtigungsstufe mit Vorsicht.

Qualifikationen KEINE BERECHTIGUNGEN KANN ANFÜGEN AN KANN NEU STARTEN KANN VERWALTEN
Anfügen eines Notebooks an einen Compute x x x
Anzeigen der Spark-Benutzeroberfläche x x x
Computemetriken anzeigen x x x
Compute beenden x x
Compute starten und neu starten x x
Anzeigen von Treiberprotokollen x (siehe Hinweis)
Compute bearbeiten x
Anfügen einer Bibliothek an das Cluster x
Größe des Computes ändern x
Berechtigungen ändern x

Hinweis

Geheimnisse werden nicht aus den Spark-Treiberprotokollstreams stdout und stderr eines Clusters entfernt. Um vertrauliche Daten zu schützen, können Spark-Treiberprotokolle standardmäßig nur von Benutzern mit Berechtigung KANN VERWALTEN für Auftrag, Einzelbenutzerzugriffsmodus und Cluster des freigegebenen Zugriffsmodus angezeigt werden. Um Benutzern mit Berechtigung KANN ANFÜGEN AN oder KANN NEU STARTEN das Anzeigen der Protokolle in diesen Clustern zu ermöglichen, legen Sie die folgende Spark-Konfigurationseigenschaft in der Clusterkonfiguration fest: spark.databricks.acl.needAdminPermissionToViewLogs false.

Auf Clustern des freigegebenen Isolationsmodus können die Spark-Treiberprotokolle von Benutzern mit den Berechtigungen KANN ANFÜGEN AN oder KANN VERWALTEN angezeigt werden. Um die Benutzer, welche die Protokolle lesen können, auf Benutzer mit der Berechtigung KANN VERWALTEN zu beschränken, setzen Sie spark.databricks.acl.needAdminPermissionToViewLogs auf true.

Informationen zum Hinzufügen von Spark-Eigenschaften zu einer Clusterkonfiguration finden Sie unter Spark-Konfiguration.

Zugriffssteuerungslisten für Legacy-Dashboards

Qualifikationen KEINE BERECHTIGUNGEN KANN ANZEIGEN KANN AUSFÜHREN KANN BEARBEITEN KANN VERWALTEN
Dashboardliste anzeigen x x x x
Dashboard und Ergebnisse anzeigen x x x x
Abfrageergebnisse im Dashboard aktualisieren (oder andere Parameter auswählen) x x x
Bearbeiten des Dashboards x x
Berechtigungen ändern x
Dashboard löschen x

Für die Bearbeitung eines Legacy-Dashboards ist die Freigabeeinstellung Als Viewer ausführen erforderlich. Weitere Informationen finden Sie unter Aktualisierungsverhalten und Ausführungskontext.

Zugriffssteuerungslisten für Delta Live Tables

Qualifikationen KEINE BERECHTIGUNGEN KANN ANZEIGEN KANN AUSFÜHREN KANN VERWALTEN IST BESITZER
Anzeigen von Pipelinedetails und Auflisten von Pipelines x x x x
Anzeigen der Spark-Benutzeroberfläche und der Treiberprotokolle x x x x
Starten und Beenden einer Pipelineaktualisierung x x x
Direktes Beenden von Pipelineclustern x x x
Bearbeiten der Pipelineeinstellungen x x
Löschen der Pipeline x x
Bereinigen von Ausführungen und Experimenten x x
Berechtigungen ändern x x

Zugriffssteuerungslisten für Featuretabellen

In dieser Tabelle wird beschrieben, wie Sie den Zugriff auf Featuretabellen in Arbeitsbereichen steuern, die für Unity Catalog nicht aktiviert sind. Wenn Ihr Arbeitsbereich für Unity Catalog aktiviert ist, verwenden Sie stattdessen Unity Catalog-Berechtigungen.

Hinweis

Qualifikationen KANN METADATEN ANZEIGEN KANN METADATEN BEARBEITEN KANN VERWALTEN
Featuretabelle lesen X X X
Featuretabelle durchsuchen X X X
Featuretabelle im in Online-Store veröffentlichen X X X
Features in die Featuretabelle schreiben X X
Beschreibung der Featuretabelle aktualisieren X X
Berechtigungen ändern X
Featuretabelle löschen X

Zugriffssteuerungslisten für Dateien

Qualifikationen KEINE BERECHTIGUNGEN KANN LESEN KANN AUSFÜHREN KANN BEARBEITEN KANN VERWALTEN
Datei lesen x x x x
Comment x x x x
Anfügen und Trennen von Dateien x x x
Interaktives Ausführen von Dateien x x x
Datei bearbeiten x x
Berechtigungen ändern x

Zugriffssteuerungslisten für Ordner

Qualifikationen KEINE BERECHTIGUNGEN KANN LESEN KANN BEARBEITEN KANN AUSFÜHREN KANN VERWALTEN
Auflisten von Objekten im Ordner x x x x x
Anzeigen von Objekten im Ordner x x x x
Klonen und Exportieren von Elementen x x x
Ausführen von Objekten im Ordner x x
Erstellen, Importieren und Löschen von Elementen x
Verschieben und Umbenennen von Elementen x
Berechtigungen ändern x

Genie Space ACLs

Qualifikationen KEINE BERECHTIGUNGEN KANN ANZEIGEN/KANN AUSFÜHREN KANN BEARBEITEN KANN VERWALTEN
Siehe in der Genie Space-Liste x x x x
Fragen stellen an Genie x x x
Bereitstellen von Feedback zur Antwort x x x
Hinzufügen oder Bearbeiten von Genie-Anweisungen x x
Hinzufügen oder Bearbeiten von Beispielfragen x x
Hinzufügen oder Entfernen von eingeschlossenen Tabellen x x
Überwachen eines Space x
Berechtigungen ändern x
Löschen eines Space x
Anzeigen der Unterhaltungen anderer Benutzer x

Zugriffssteuerungslisten für Git-Ordner

Qualifikationen KEINE BERECHTIGUNGEN KANN LESEN KANN AUSFÜHREN KANN BEARBEITEN KANN VERWALTEN
Auflisten von Ressourcen in einem Ordner x x x x x
Anzeigen von Objekten in einem Ordner x x x x
Klonen und Exportieren von Ressourcen x x x x
Ausführen ausführbarer Objekte im Ordner x x x
Bearbeiten und Umbenennen von Ressourcen in einem Ordner x x
Erstellen einer Verzweigung in einem Ordner x
Pullen oder Pushen eines Branchs aus einem oder in einen Ordner x
Erstellen, Importieren, Löschen und Verschieben von Ressourcen x
Berechtigungen ändern x

Zugriffssteuerungslisten für Aufträge

Qualifikationen KEINE BERECHTIGUNGEN KANN ANZEIGEN KANN AUSFÜHRUNG VERWALTEN IST BESITZER KANN VERWALTEN
Auftragsdetails und -einstellungen anzeigen x x x x
Anzeigen der Ergebnisse x x x x
Spark UI, Protokolle eines ausgeführten Auftrags anzeigen x x x
Jetzt ausführen x x x
Abbrechen der Ausführung x x x
Auftragseinstellungen bearbeiten x x
Auftrag löschen x x
Berechtigungen ändern x x

Zugriffssteuerungslisten für MLflow-Experimente

Qualifikationen KEINE BERECHTIGUNGEN KANN LESEN KANN BEARBEITEN KANN VERWALTEN
Anzeigen von Ausführungen von Such- und Vergleichsvorgängen in Ausführungsinformationen x x x
Anzeigen, Auflisten und Herunterladen von Ausführungsartefakten x x x
Erstellen, Löschen und Wiederherstellen von Ausführungen x x
Protokollieren von Ausführungsparametern, Metriken und Tags x x
Protokollieren von Ausführungsartefakten x x
Bearbeiten von Experimenttags x x
Bereinigen von Ausführungen und Experimenten x
Berechtigungen ändern x

Zugriffssteuerungslisten für MLFlow-Modelle

In dieser Tabelle wird beschrieben, wie Sie den Zugriff auf registrierte Modelle in Arbeitsbereichen steuern, die für Unity Catalog nicht aktiviert sind. Wenn Ihr Arbeitsbereich für Unity Catalog aktiviert ist, verwenden Sie stattdessen Unity Catalog-Berechtigungen.

Qualifikationen KEINE BERECHTIGUNGEN KANN LESEN KANN BEARBEITEN KANN STAGINGVERSIONEN VERWALTEN KANN PRODUKTIONSVERSIONEN VERWALTEN KANN VERWALTEN
Anzeigen von Modelldetails, Versionen, Phasenübergangsanforderungen, Aktivitäten und Artefaktdownload-URIs x x x x x
Anfordern eines Phasenübergangs für die Modellversion x x x x x
Hinzufügen einer Version zu einem Modell x x x x
Aktualisieren der Modell- und Versionsbeschreibung x x x x
Hinzufügen oder Bearbeiten von Tags x x x x
Ändern der Modellversion zwischen Phasen x x x
Genehmigen einer Übergangsanforderung x x x
Abbrechen einer Übergangsanforderung x
Umbenennen des Modells x
Berechtigungen ändern x
Löschen von Modellen und Modellversionen x

Zugriffssteuerungslisten für Notebooks

Qualifikationen KEINE BERECHTIGUNGEN KANN LESEN KANN AUSFÜHREN KANN BEARBEITEN KANN VERWALTEN
Anzeigen von Zellen x x x x
Comment x x x x
Ausführen über „%run“ oder Notebookworkflows x x x x
Anfügen und Trennen von Notebooks x x x
Ausführung von Befehlen x x x
Bearbeiten von Zellen x x
Berechtigungen ändern x

Zugriffssteuerungslisten für Pools

Qualifikationen KEINE BERECHTIGUNGEN KANN ANFÜGEN KANN VERWALTEN
Cluster an Pool anfügen x x
Pool löschen x
Bearbeiten des Pools x
Berechtigungen ändern x

Zugriffssteuerungslisten für Abfragen

Qualifikationen KEINE BERECHTIGUNGEN KANN ANZEIGEN KANN AUSFÜHREN KANN BEARBEITEN KANN VERWALTEN
Eigene Abfragen anzeigen x x x x
In Abfrageliste einsehen x x x x
Abfragetext anzeigen x x x x
Abfrageergebnisse anzeigen x x x x
Abfrageergebnis aktualisieren (oder andere Parameter auswählen) x x x
Die Abfrage in ein Dashboard einbeziehen x x x
Abfragetext bearbeiten x x
SQL-Warehouse oder Datenquelle ändern x
Berechtigungen ändern x
Löschabfrage x

Zugriffssteuerungslisten für Geheimnisse

Qualifikationen READ WRITE VERWALTEN
Lesen des Geheimnisbereichs x x x
Auflisten der Geheimnisse im Bereich x x x
Schreiben in den Geheimnisbereich x x
Berechtigungen ändern x

Zugriffssteuerungslisten für Bereitstellungsendpunkte

Qualifikationen KEINE BERECHTIGUNGEN KANN ANZEIGEN KANN ABFRAGEN KANN VERWALTEN
Abrufen des Endpunkts x x x
Auflisten des Endpunkts x x x
Abfrageendpunkt x x
Aktualisieren der Endpunktkonfiguration x
Löschen eines Endpunkts x
Berechtigungen ändern x

Zugriffssteuerungslisten für SQL-Warehouses

Qualifikationen KEINE BERECHTIGUNGEN KANN VERWENDEN KANN ÜBERWACHEN IST BESITZER KANN VERWALTEN
Warehouse starten x x x x
Warehousedetails anzeigen x x x x
Anzeigen von Warehouse-Abfragen x x x
Registerkarte „Warehouse-Überwachung“ anzeigen x x x
Warehouse beenden x x
Warehouse löschen x x
Warehouse bearbeiten x x
Berechtigungen ändern x x