Listas de control de acceso
En este artículo se describen los detalles sobre los permisos disponibles para los distintos objetos del área de trabajo.
Nota:
El control de acceso requiere el plan Premium.
La configuración de control de acceso está desactivada de manera predeterminada en las áreas de trabajo que pasan del plan Estándar al plan Premium. Una vez habilitada una configuración de control de acceso, no se puede desactivar. Para más información, consulte Listas de control de acceso habilitables en áreas de trabajo actualizadas.
Introducción a las listas de control de acceso
En Azure Databricks, puede usar listas de control de acceso (ACL) para configurar el permiso para acceder a objetos de nivel de área de trabajo. Los administradores de áreas de trabajo tienen el permiso PUEDE ADMINISTRAR en todos los objetos de su área de trabajo, lo que les ofrece la capacidad de administrar permisos en todos los objetos de sus áreas de trabajo. Los usuarios tienen automáticamente el permiso PUEDE ADMINISTRAR para los objetos que crean.
Para obtener un ejemplo de cómo asignar roles típicos a permisos de nivel de área de trabajo, consulte la Propuesta de introducción a grupos y permisos de Databricks.
Administrar listas de control de acceso con carpetas
Puede administrar los permisos de objetos del área de trabajo agregando objetos a carpetas. Los objetos de una carpeta heredan toda la configuración de permisos de esa carpeta. Por ejemplo, un usuario que tiene el permiso PUEDE EJECUTAR en una carpeta tiene permiso PUEDE EJECUTAR en las alertas de esa carpeta.
Si concede a un usuario acceso a un objeto dentro de la carpeta, puede ver el nombre de la carpeta primaria, aunque no tenga permisos en la carpeta primaria. Por ejemplo, un cuaderno denominado test1.py
está en una carpeta denominada Workflows
. Si concede a un usuario el permiso CAN READ en test1.py
y no tiene permisos en Workflows
, el usuario puede ver que la carpeta primaria se denomina Workflows
. El usuario no puede ver ni acceder a ningún otro objeto de la carpeta Workflows
a menos que se le hayan concedido permisos.
Para obtener información sobre cómo organizar objetos en carpetas, consulte Explorador del área de trabajo.
ACL del panel de IA y BI
Aptitud | SIN PERMISOS | PUEDE VER O EJECUTAR | PUEDE EDITAR | PUEDE ADMINISTRAR |
---|---|---|---|---|
Ver el panel y los resultados | x | x | x | |
Interaccionar con widgets | x | x | x | |
Actualizar el panel | x | x | x | |
Editar panel | x | x | ||
Clonar panel | x | x | x | |
Publicar instantánea del panel | x | x | ||
Modificar permisos | x | |||
Eliminación de un panel | x |
ACL de alertas
Aptitud | NO PERMISSIONS | CAN RUN | CAN MANAGE |
---|---|---|---|
Ver en la lista de alertas | x | x | |
Visualizar alertas y resultados | x | x | |
Desencadenar la ejecución de alertas de forma manual | x | x | |
Suscribirse a notificaciones | x | x | |
Editar alerta | x | ||
Modificar permisos | x | ||
Eliminar alerta | x |
ACL de proceso
Importante
Los usuarios con permisos CAN ATTACH TO pueden ver las claves de cuenta de servicio en el archivo log4j. Tenga cuidado al conceder este nivel de permiso.
Aptitud | NO PERMISSIONS | CAN ATTACH TO | CAN RESTART | CAN MANAGE |
---|---|---|---|---|
Asociación de cuadernos al proceso | x | x | x | |
Visualización de la interfaz de usuario de Spark | x | x | x | |
Visualización de métricas de proceso | x | x | x | |
Finalización del proceso | x | x | ||
Iniciar y reiniciar el proceso | x | x | ||
Visualización de los registros de controladores | x (consulte la nota) | |||
Edición del proceso | x | |||
Adjuntar la biblioteca al proceso | x | |||
Cambio de tamaño del proceso | x | |||
Modificar permisos | x |
Nota:
Los secretos no se censuran de los flujos stdout
y stderr
de registros de controladores de Spark del clúster. Para proteger los datos confidenciales, los registros de controladores de Spark solo son visibles por los usuarios con el permiso CAN MANAGE en el trabajo, el modo de acceso de usuario único y los clústeres en modo de acceso compartido. Para permitir que los usuarios con los permisos CAN ATTACH TO o CAN RESTART puedan ver los registros de estos clústeres, establezca la siguiente propiedad de configuración de Spark en la configuración del clúster: spark.databricks.acl.needAdminPermissionToViewLogs false
.
En clústeres de modo de acceso compartido sin aislamiento, los usuarios pueden ver los registros de controladores de Spark con el permiso CAN ATTACH TO o CAN MANAGE. Para limitar quién puede leer los registros solo a los usuarios con el permiso CAN MANAGE, establezca spark.databricks.acl.needAdminPermissionToViewLogs
en true
.
Consulte configuración de Spark para obtener información sobre cómo agregar propiedades de Spark a una configuración de clúster.
ACL de panel heredadas
Aptitud | NO PERMISSIONS | PUEDE VER | PUEDE EJECUTAR | PUEDES EDITAR | PUEDE ADMINISTRAR |
---|---|---|---|---|---|
Ver en la lista de paneles | x | x | x | x | |
Ver el panel y los resultados | x | x | x | x | |
Actualizar los resultados de la consulta en el panel (o elegir otros parámetros) | x | x | x | ||
Editar panel | x | x | |||
Modificar permisos | x | ||||
Eliminación de un panel | x |
La edición de un panel heredado requiere la configuración de uso compartido Ejecutar como visor. Consulte comportamiento de actualización y contexto de ejecución.
Delta Live Tables ACLs
Aptitud | NO PERMISSIONS | PUEDE VER | PUEDE EJECUTAR | PUEDE ADMINISTRAR | ES PROPIETARIO |
---|---|---|---|---|---|
Ver los detalles de la canalización y enumerar las canalizaciones | x | x | x | x | |
Ver los registros de los controladores y la interfaz de usuario de Spark | x | x | x | x | |
Iniciar y detener la actualización de una canalización | x | x | x | ||
Detener los clústeres de canalizaciones directamente | x | x | x | ||
Editar la configuración de la canalización | x | x | |||
Eliminar la canalización | x | x | |||
Purga de ejecuciones y experimentos | x | x | |||
Modificar permisos | x | x |
ACL de tablas de características
En esta tabla se describe cómo controlar el acceso a las tablas de características en áreas de trabajo que no estén habilitadas para el catálogo de Unity. Si el área de trabajo está habilitada para el catálogo de Unity, use privilegios de catálogo de Unity en su lugar.
Nota:
- El control de acceso al almacén de características no rige el acceso a la tabla Delta subyacente, que se rige por el control de acceso a tablas.
- Para obtener más información sobre los permisos de tabla de características del área de trabajo, consulte Control del acceso a las tablas de características.
Aptitud | PUEDE VER METADATOS | PUEDE EDITAR METADATOS | PUEDE ADMINISTRAR |
---|---|---|---|
Leer la tabla de características | X | X | X |
Buscar en la tabla de características | X | X | X |
Publicar una tabla de características en un almacén en línea | X | X | X |
Escribir características en la tabla de características | X | X | |
Actualizar la descripción de la tabla de características | X | X | |
Modificar permisos | X | ||
Eliminar la tabla de características | X |
ACL de archivo
Aptitud | NO PERMISSIONS | PUEDES LEER | PUEDES EJECUTAR | PUEDES EDITAR | PUEDE ADMINISTRAR |
---|---|---|---|---|---|
Leer archivo | x | x | x | x | |
Comentario | x | x | x | x | |
Adjuntar y desasociar archivo | x | x | x | ||
Ejecutar el archivo de forma interactiva | x | x | x | ||
Editar archivo | x | x | |||
Modificar permisos | x |
ACL de carpetas
Aptitud | NO PERMISSIONS | CAN READ | PUEDE EDITAR | CAN RUN | PUEDE ADMINISTRAR |
---|---|---|---|---|---|
Enumerar objetos en la carpeta | x | x | x | x | x |
Ver objetos en la carpeta | x | x | x | x | |
Clonar y exportar elementos | x | x | x | ||
Ejecutar objetos en la carpeta | x | x | |||
Crear, importar y eliminar elementos | x | ||||
Mover elementos y cambiarles el nombre | x | ||||
Modificar permisos | x |
ACL de espacios de Genie
Aptitud | SIN PERMISOS | PUEDE VER O EJECUTAR | PUEDE EDITAR | PUEDES ADMINISTRAR |
---|---|---|---|---|
Consulte en la lista de espacios de Genie | x | x | x | x |
Formular preguntas a Genie | x | x | x | |
Proporcionar comentarios de respuesta | x | x | x | |
Adición o edición de instrucciones de Genie | x | x | ||
Agregar o editar preguntas de ejemplo | x | x | ||
Agregar o quitar tablas incluidas | x | x | ||
Supervisión de un espacio | x | |||
Modificar permisos | x | |||
Eliminar espacio | x | |||
Visualización de las conversaciones de otros usuarios | x |
ACL de carpetas de Git
Aptitud | NO PERMISSIONS | PUEDES LEER | PUEDES EJECUTAR | PUEDES EDITAR | PUEDES ADMINISTRAR |
---|---|---|---|---|---|
Enumerar los recursos de una carpeta | x | x | x | x | x |
Ver recursos en una carpeta | x | x | x | x | |
Clonación y exportación de recursos | x | x | x | x | |
Ejecutar recursos ejecutables en la carpeta | x | x | x | ||
Editar y cambiar el nombre de los recursos en una carpeta | x | x | |||
Crear una rama en una carpeta | x | ||||
Extracción o inserción de una rama en una carpeta | x | ||||
Crear, importar, eliminar y mover recursos | x | ||||
Modificar permisos | x |
ACL de trabajo
Aptitud | NO PERMISSIONS | PUEDE VER | PUEDE ADMINISTRAR LA EJECUCIÓN | ES PROPIETARIO | PUEDE ADMINISTRAR |
---|---|---|---|---|---|
Ver los detalles y la configuración del trabajo | x | x | x | x | |
Vista de resultados | x | x | x | x | |
Ver la interfaz de usuario de Spark y los registros de una ejecución del trabajo | x | x | x | ||
Ejecutar ahora | x | x | x | ||
Cancela la ejecución | x | x | x | ||
Editar la configuración del trabajo | x | x | |||
Eliminación de un trabajo | x | x | |||
Modificar permisos | x | x |
ACL del experimento de MLflow
Aptitud | NO PERMISSIONS | CAN READ | CAN EDIT | CAN MANAGE |
---|---|---|---|---|
Ver ejecuciones de comparación de búsqueda de información de ejecución | x | x | x | |
Visualización, enumeración y descarga de artefactos de ejecución | x | x | x | |
Creación, eliminación y restauración de ejecuciones | x | x | ||
Parámetros de ejecución de registros, métricas y etiquetas | x | x | ||
Artefactos de ejecución de registros | x | x | ||
Edición de etiquetas del experimento | x | x | ||
Purga de ejecuciones y experimentos | x | |||
Modificar permisos | x |
ACL del modelo de MLflow
En este artículo se describe cómo controlar el acceso a modelos registrados en áreas de trabajo que no estén habilitadas para el catálogo de Unity. Si el área de trabajo está habilitada para el catálogo de Unity, use privilegios de catálogo de Unity en su lugar.
Aptitud | NO PERMISSIONS | CAN READ | CAN EDIT | CAN MANAGE STAGING VERSIONS | CAN MANAGE PRODUCTION VERSIONS | CAN MANAGE |
---|---|---|---|---|---|---|
Visualización de detalles del modelo, versiones, solicitudes de transición de fase, actividades y URI de descarga de artefactos | x | x | x | x | x | |
Solicitud de una transición de fase de versión de modelo | x | x | x | x | x | |
Adición de una versión a un modelo | x | x | x | x | ||
Actualización del modelo y la descripción de la versión | x | x | x | x | ||
Adición o edición de etiquetas | x | x | x | x | ||
Transición de versión del modelo entre fases | x | x | x | |||
Aprobación de una solicitud de transición | x | x | x | |||
Cancelación de una solicitud de transición | x | |||||
Cambio de nombre del modelo | x | |||||
Modificar permisos | x | |||||
Eliminación de versiones de modelo y modelo | x |
ACL de cuadernos
Aptitud | NO PERMISSIONS | PUEDES LEER | PUEDES EJECUTAR | PUEDES EDITAR | PUEDE ADMINISTRAR |
---|---|---|---|---|---|
Visualización de celdas | x | x | x | x | |
Comentario | x | x | x | x | |
Ejecución mediante %run o flujos de trabajo de cuaderno | x | x | x | x | |
Asociación y desasociación de cuadernos | x | x | x | ||
Ejecución de comandos | x | x | x | ||
Edición de celdas | x | x | |||
Modificar permisos | x |
ACL de grupo
Aptitud | NO PERMISSIONS | SE PUEDE ASOCIAR A | PUEDE ADMINISTRAR |
---|---|---|---|
Asociar un clúster a un grupo | x | x | |
Eliminar un grupo | x | ||
Editar un grupo | x | ||
Modificar permisos | x |
ACL de consulta
Aptitud | NO PERMISSIONS | PUEDE VER | PUEDE EJECUTAR | PUEDES EDITAR | PUEDE ADMINISTRAR |
---|---|---|---|---|---|
Ver sus propias consultas | x | x | x | x | |
Ver en la lista de consultas | x | x | x | x | |
Ver el texto de la consulta | x | x | x | x | |
Ver el resultado de la consulta | x | x | x | x | |
Actualizar el resultado de la consulta (o elegir parámetros diferentes) | x | x | x | ||
Incluir la consulta en un panel | x | x | x | ||
Editar el texto de la consulta | x | x | |||
Cambio del almacén de SQL o el origen de datos | x | ||||
Modificar permisos | x | ||||
consulta de eliminación | x |
ACL secretas
Aptitud | READ | ESCRIBIR | ADMINISTRAR |
---|---|---|---|
Leer el ámbito del secreto | x | x | x |
Enumerar secretos en el ámbito | x | x | x |
Escribir en el ámbito del secreto | x | x | |
Modificar permisos | x |
Servicio de ACL de punto de conexión
Aptitud | NO PERMISSIONS | CAN VIEW | CAN QUERY | CAN MANAGE |
---|---|---|---|---|
Obtención del punto de conexión | x | x | x | |
Enumerar punto de conexión | x | x | x | |
Punto de conexión de consulta | x | x | ||
Actualización de la configuración del punto de conexión | x | |||
Eliminación de un punto de conexión | x | |||
Modificar permisos | x |
ACL de SQL Warehouse
Aptitud | SIN PERMISOS | PUEDE USAR | CAN MONITOR | ES PROPIETARIO | PUEDE ADMINISTRAR |
---|---|---|---|---|---|
Iniciar el almacén | x | x | x | x | |
Ver los detalles del almacén | x | x | x | x | |
Ver consultas del almacenamiento | x | x | x | ||
Pestaña de visualización de la supervisión del almacenamiento | x | x | x | ||
Detener el almacén | x | x | |||
Eliminar el almacén | x | x | |||
Editar el almacén | x | x | |||
Modificar permisos | x | x |