Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los detalles sobre los permisos disponibles para los distintos objetos del área de trabajo.
Nota:
El control de acceso requiere el plan Premium.
La configuración de control de acceso está desactivada de manera predeterminada en las áreas de trabajo que pasan del plan Estándar al plan Premium. Una vez habilitada una configuración de control de acceso, no se puede desactivar. Para más información, consulte Listas de control de acceso habilitables en áreas de trabajo actualizadas.
Introducción a las listas de control de acceso
En Azure Databricks, puede usar listas de control de acceso (ACL) para configurar el permiso para acceder a objetos de nivel de área de trabajo. Los administradores de áreas de trabajo tienen el permiso PUEDE ADMINISTRAR en todos los objetos de su área de trabajo, lo que les ofrece la capacidad de administrar permisos en todos los objetos de sus áreas de trabajo. Los usuarios tienen automáticamente permiso para gestionar los objetos que ellos mismos crean.
Para obtener un ejemplo de cómo asignar personas típicas a permisos de nivel de área de trabajo, consulte la Propuesta para empezar con grupos y permisos de Databricks.
Administrar listas de control de acceso con carpetas
Puede administrar los permisos de objetos del área de trabajo agregando objetos a carpetas. Los objetos de una carpeta heredan toda la configuración de permisos de esa carpeta. Por ejemplo, un usuario que tenga el permiso PUEDE EJECUTAR en una carpeta tendrá el permiso PUEDE EJECUTAR en las alertas de esa carpeta.
Si concede a un usuario acceso a un objeto dentro de la carpeta, puede ver el nombre de la carpeta primaria, aunque no tenga permisos en la carpeta primaria. Por ejemplo, un cuaderno denominado test1.py está en una carpeta denominada Workflows. Si concede a un usuario CAN VIEW en test1.py y no tiene permisos en Workflows, el usuario puede ver que la carpeta primaria se denomina Workflows. El usuario no puede ver ni acceder a ningún otro objeto de la carpeta Workflows a menos que se le hayan concedido permisos.
Para obtener información sobre cómo organizar objetos en carpetas, consulte Explorador del área de trabajo.
ACL del panel de IA y BI
| Aptitud | SIN PERMISOS | PUEDE VER O EJECUTAR | PUEDE EDITAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|
| Ver el panel y los resultados | x | x | x | |
| Interaccionar con widgets | x | x | x | |
| Actualizar el tablero de control | x | x | x | |
| Editar panel | x | x | ||
| Clonar panel de control | x | x | x | |
| Publicar instantánea del panel de control | x | x | ||
| Modificar permisos | x | |||
| Eliminar panel | x |
ACL de alertas
| Aptitud | SIN PERMISOS | PUEDE CORRER | PUEDE ADMINISTRAR |
|---|---|---|---|
| Ver en la lista de alertas | x | x | |
| Visualizar alertas y resultados | x | x | |
| Desencadenar la ejecución de alertas de forma manual | x | x | |
| Suscribirse a notificaciones | x | x | |
| Editar alerta | x | ||
| Modificar permisos | x | ||
| Eliminar alerta | x |
ACL de proceso
Importante
Los usuarios con permisos CAN ATTACH TO pueden ver las claves de cuenta de servicio en el archivo log4j. Tenga cuidado al conceder este nivel de permiso.
| Aptitud | SIN PERMISOS | SE PUEDE ASOCIAR A | SE PUEDE REINICIAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|
| Adjuntar cuadernos al proceso | x | x | x | |
| Visualización de la interfaz de usuario de Spark | x | x | x | |
| Ver métricas de computación | x | x | x | |
| Terminar computación | x | x | ||
| Iniciar y reiniciar el proceso | x | x | ||
| Visualización de los registros de controladores | x (consulte la nota) | |||
| Edición del proceso | x | |||
| Adjuntar la biblioteca al proceso | x | |||
| Cambiar tamaño del proceso | x | |||
| Modificar permisos | x |
Nota:
Los secretos no se redactan desde el registro stdout y stderr las secuencias del controlador de Spark de un clúster. Para proteger los datos confidenciales, de forma predeterminada, los registros de controladores de Spark solo son visibles por los usuarios con permiso CAN MANAGE en clústeres de trabajos, modo de acceso dedicado y modo de acceso estándar. Para permitir que los usuarios con los permisos CAN ATTACH TO o CAN RESTART puedan ver los registros de estos clústeres, establezca la siguiente propiedad de configuración de Spark en la configuración del clúster: spark.databricks.acl.needAdminPermissionToViewLogs false.
En clústeres de modo de acceso compartido sin aislamiento, los usuarios pueden ver los registros de controladores de Spark con el permiso CAN ATTACH TO o CAN MANAGE. Para limitar quién puede leer los registros solo a los usuarios con el permiso CAN MANAGE, establezca spark.databricks.acl.needAdminPermissionToViewLogs en true.
Consulte configuración de Spark para obtener información sobre cómo agregar propiedades de Spark a una configuración de clúster.
ACL de panel heredadas
| Aptitud | SIN PERMISOS | SE PUEDE VER | PUEDE CORRER | PUEDE EDITAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|---|
| Ver en la lista del panel | x | x | x | x | |
| Ver el panel y los resultados | x | x | x | x | |
| Actualizar los resultados de la consulta en el panel (o elegir otros parámetros) | x | x | x | ||
| Editar panel | x | x | |||
| Modificar permisos | x | ||||
| Eliminar panel | x |
La edición de un panel heredado requiere la configuración de uso compartido Ejecutar como visor. Consulte comportamiento de actualización y contexto de ejecución.
ACL de instancia de base de datos
| Aptitud | SIN PERMISOS | PUEDE USAR | PUEDE ADMINISTRAR |
|---|---|---|---|
| Creación de tablas sincronizadas | x | x | |
| Crea catálogos | x | x | |
| Creación de tablas | x | x | |
| Instancia de escalado | x | ||
| Eliminar instancia | x | ||
| Creación de catálogo de Unity | x | ||
| Pausar instancia | x | ||
| Reanudación de la instancia | x |
ACL de canalizaciones declarativas de Lakeflow
| Aptitud | SIN PERMISOS | SE PUEDE VER | PUEDE CORRER | PUEDE ADMINISTRAR | ES PROPIETARIO |
|---|---|---|---|---|---|
| Ver los detalles de la canalización y enumerar las canalizaciones | x | x | x | x | |
| Ver los registros de los controladores y la interfaz de usuario de Spark | x | x | x | x | |
| Iniciar y detener la actualización de una canalización | x | x | x | ||
| Detener los clústeres de canalizaciones directamente | x | x | x | ||
| Editar la configuración de la canalización | x | x | |||
| Eliminar la canalización | x | x | |||
| Purga de ejecuciones y experimentos | x | x | |||
| Modificar permisos | x | x |
ACL de tablas de características
En esta tabla se describe cómo controlar el acceso a las tablas de características en áreas de trabajo que no estén habilitadas para el catálogo de Unity. Si el área de trabajo está habilitada para el catálogo de Unity, use privilegios de catálogo de Unity en su lugar.
Nota:
- El control de acceso al almacén de características no rige el acceso a la tabla Delta subyacente, que se rige por el control de acceso a tablas.
- Para obtener más información sobre los permisos de las tablas de características del área de trabajo, consulte Control de acceso a las tablas de características en el Almacén de características del área de trabajo (heredado).
| Aptitud | PUEDE VER METADATOS | PUEDE EDITAR METADATOS | PUEDE ADMINISTRAR |
|---|---|---|---|
| Leer la tabla de características | X | X | X |
| Buscar en la tabla de características | X | X | X |
| Publicar una tabla de características en un almacén en línea | X | X | X |
| Escribir características en la tabla de características | X | X | |
| Actualizar la descripción de la tabla de características | X | X | |
| Modificar permisos | X | ||
| Eliminar la tabla de características | X |
ACL de archivos
| Aptitud | SIN PERMISOS | SE PUEDE VER | PUEDE CORRER | PUEDE EDITAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|---|
| Leer archivo | x | x | x | x | |
| Comentario | x | x | x | x | |
| Adjuntar y desasociar archivo | x | x | x | ||
| Ejecutar el archivo de forma interactiva | x | x | x | ||
| Editar archivo | x | x | |||
| Modificar permisos | x |
Nota:
La interfaz de usuario del área de trabajo se refiere al acceso exclusivo de visualización como CAN VIEW, mientras que la API de permisos utiliza CAN READ para representar el mismo grado de acceso.
ACL de carpetas
| Aptitud | SIN PERMISOS | SE PUEDE VER | PUEDE EDITAR | PUEDE CORRER | PUEDE ADMINISTRAR |
|---|---|---|---|---|---|
| Enumerar objetos en la carpeta | x | x | x | x | x |
| Ver objetos en la carpeta | x | x | x | x | |
| Clonar y exportar elementos | x | x | x | ||
| Ejecutar objetos en la carpeta | x | x | |||
| Crear, importar y eliminar elementos | x | ||||
| Mover elementos y cambiarles el nombre | x | ||||
| Modificar permisos | x |
Nota:
La interfaz de usuario del área de trabajo se refiere al acceso exclusivo de visualización como CAN VIEW, mientras que la API de permisos utiliza CAN READ para representar el mismo grado de acceso.
ACL de espacios de Genie
| Aptitud | SIN PERMISOS | PUEDE VER O EJECUTAR | PUEDE EDITAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|
| Consulte en la lista de espacios de Genie | x | x | x | |
| Formular preguntas a Genie | x | x | x | |
| Proporcionar comentarios de respuesta | x | x | x | |
| Adición o edición de instrucciones de Genie | x | x | ||
| Agregar o editar preguntas de ejemplo | x | x | ||
| Agregar o quitar tablas incluidas | x | x | ||
| Supervisión de un espacio | x | |||
| Modificar permisos | x | |||
| Eliminar espacio | x | |||
| Ver las conversaciones de otros usuarios | x | x |
ACL de carpetas de Git
| Aptitud | SIN PERMISOS | PUEDES LEER | PUEDE CORRER | PUEDE EDITAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|---|
| Enumerar los activos de una carpeta | x | x | x | x | x |
| Ver recursos en una carpeta | x | x | x | x | |
| Clonación y exportación de recursos | x | x | x | x | |
| Ejecutar recursos ejecutables en la carpeta | x | x | x | ||
| Editar y cambiar el nombre de los recursos en una carpeta | x | x | |||
| Crear una rama en una carpeta | x | ||||
| Cambiar ramas en una carpeta | x | ||||
| Extracción o inserción de una rama en una carpeta | x | ||||
| Crear, importar, eliminar y mover recursos | x | ||||
| Modificar permisos | x |
ACL de trabajo
| Aptitud | SIN PERMISOS | SE PUEDE VER | PUEDE ADMINISTRAR LA EJECUCIÓN | ES PROPIETARIO | PUEDE ADMINISTRAR |
|---|---|---|---|---|---|
| Ver los detalles y la configuración del trabajo | x | x | x | x | |
| Vista de resultados | x | x | x | x | |
| Ver la interfaz de usuario de Spark y los registros de una ejecución del trabajo | x | x | x | ||
| Ejecutar ahora | x | x | x | ||
| Cancelar ejecución | x | x | x | ||
| Editar la configuración del trabajo | x | x | |||
| Eliminación de un trabajo | x | x | |||
| Modificar permisos | x | x |
Nota:
El creador de un trabajo tiene el permiso IS OWNER de forma predeterminada.
Un trabajo no puede tener más de un propietario.
No se puede asignar al grupo el permiso Is Owner en calidad de propietario.
Los trabajos desencadenados a través de Ejecutar ahora asumen los permisos del dueño del trabajo y no del usuario que emitió Ejecutar ahora.
El control de acceso de trabajos se aplica a los trabajos mostrados en la interfaz de usuario de trabajos de Lakeflow y sus ejecuciones. No se aplica a:
Flujos de trabajo de cuadernos que ejecutan código modular e interconectado. Estos usan los permisos del cuaderno en sí. Si el cuaderno procede de Git, se crea una nueva copia y sus archivos heredan los permisos del usuario que desencadenó la ejecución.
Trabajos enviados por API. Estos usan los permisos predeterminados del cuaderno a menos que establezca explícitamente el valor de
access_control_listen la solicitud de API.
ACL del experimento de MLflow
Las ACL del experimento de MLflow son diferentes para los experimentos de cuadernos y los experimentos del área de trabajo. Los experimentos de cuadernos no se pueden administrar independientemente del cuaderno que los creó, por lo que los permisos son similares a los permisos del cuaderno.
Para obtener más información sobre los dos tipos de experimentos, consulte Organizar ejecuciones de entrenamiento con experimentos de MLflow.
:::
ACL para experimentos de cuadernos
Al cambiar estos permisos también se modifican los permisos del cuaderno que corresponde al experimento.
| Aptitud | SIN PERMISOS | PUEDES LEER | PUEDE CORRER | PUEDE EDITAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|---|
| Ver bloc de notas | x | x | x | x | |
| Comentario en el cuaderno | x | x | x | x | |
| Vincular/desvincular el notebook al entorno de computación | x | x | x | ||
| Ejecución de comandos en el cuaderno | x | x | x | ||
| Editar cuaderno | x | x | |||
| Modificar permisos | x |
ACL para experimentos de áreas de trabajo
| Aptitud | SIN PERMISOS | PUEDES LEER | PUEDE EDITAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|
| Visualización del experimento | x | x | x | |
| Registrar ejecuciones en el experimento | x | x | ||
| Edición del experimento | x | x | ||
| Eliminación del experimento | x | |||
| Modificar permisos | x |
ACL del modelo de MLflow
En este artículo se describe cómo controlar el acceso a modelos registrados en áreas de trabajo que no estén habilitadas para el catálogo de Unity. Si el área de trabajo está habilitada para el catálogo de Unity, use privilegios de catálogo de Unity en su lugar.
| Aptitud | SIN PERMISOS | PUEDES LEER | PUEDE EDITAR | SE PUEDEN GESTIONAR VERSIONES DE ENSAYO | PUEDE GESTIONAR VERSIONES DE PRODUCCIÓN | PUEDE ADMINISTRAR |
|---|---|---|---|---|---|---|
| Visualización de detalles del modelo, versiones, solicitudes de transición de fase, actividades y URI de descarga de artefactos | x | x | x | x | x | |
| Solicitud de una transición de fase de versión de modelo | x | x | x | x | x | |
| Adición de una versión a un modelo | x | x | x | x | ||
| Actualización del modelo y la descripción de la versión | x | x | x | x | ||
| Adición o edición de etiquetas | x | x | x | x | ||
| Transición de versión del modelo entre fases | x | x | x | |||
| Aprobación de una solicitud de transición | x | x | x | |||
| Cancelación de una solicitud de transición | x | |||||
| Cambio de nombre del modelo | x | |||||
| Modificar permisos | x | |||||
| Eliminación de versiones de modelo y modelo | x |
ACL de cuadernos
| Aptitud | SIN PERMISOS | SE PUEDE VER | PUEDE CORRER | PUEDE EDITAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|---|
| Visualización de celdas | x | x | x | x | |
| Comentario | x | x | x | x | |
| Ejecutar mediante flujos de trabajo de %run o cuadernos | x | x | x | x | |
| Asociación y desasociación de cuadernos | x | x | x | ||
| Ejecución de comandos | x | x | x | ||
| Edición de celdas | x | x | |||
| Modificar permisos | x |
Nota:
La interfaz de usuario del área de trabajo se refiere al acceso exclusivo de visualización como CAN VIEW, mientras que la API de permisos utiliza CAN READ para representar el mismo grado de acceso.
ACL de grupo
| Aptitud | SIN PERMISOS | SE PUEDE ASOCIAR A | PUEDE ADMINISTRAR |
|---|---|---|---|
| Asociar un clúster a un pool | x | x | |
| Eliminar un grupo | x | ||
| Editar un grupo | x | ||
| Modificar permisos | x |
ACL de consulta
| Aptitud | SIN PERMISOS | SE PUEDE VER | PUEDE CORRER | PUEDE EDITAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|---|
| Ver tus consultas | x | x | x | x | |
| Ver en la lista de consultas | x | x | x | x | |
| Ver el texto de la consulta | x | x | x | x | |
| Ver el resultado de la consulta | x | x | x | x | |
| Actualizar el resultado de la consulta (o elegir parámetros diferentes) | x | x | x | ||
| Incluir la consulta en un panel | x | x | x | ||
| Editar el texto de la consulta | x | x | |||
| Cambio del almacén de SQL o el origen de datos | x | ||||
| Modificar permisos | x | ||||
| Eliminación de consulta | x |
ACL secretas
| Aptitud | LECTURA | ESCRITURA | ADMINISTRAR |
|---|---|---|---|
| Leer el ámbito del secreto | x | x | x |
| Enumerar secretos en el ámbito | x | x | x |
| Escribir en el ámbito del secreto | x | x | |
| Modificar permisos | x |
Servicio de ACL de punto de conexión
| Aptitud | SIN PERMISOS | SE PUEDE VER | SE PUEDE CONSULTAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|
| Obtención del punto de conexión | x | x | x | |
| Listar punto de conexión | x | x | x | |
| Punto de conexión de consulta | x | x | ||
| Actualización de la configuración del punto de conexión | x | |||
| Eliminación de un punto de conexión | x | |||
| Modificar permisos | x |
ACL de SQL Warehouse
| Aptitud | SIN PERMISOS | SE PUEDE VER | PUEDE SUPERVISAR | PUEDE USAR | ES PROPIETARIO | PUEDE ADMINISTRAR |
|---|---|---|---|---|---|---|
| Iniciar el almacén | x | x | x | x | ||
| Ver los detalles del almacén | x | x | x | x | x | |
| Ver consultas del almacén | x | x | x | x | ||
| Realizar consultas | x | x | x | x | ||
| Pestaña de visualización de la supervisión del almacenamiento | x | x | x | x | ||
| Detener el almacén | x | x | ||||
| Eliminar el almacén | x | x | ||||
| Editar el almacén | x | x | ||||
| Modificar permisos | x | x |
Nota:
El permiso CAN VIEW está en versión preliminar pública.
ACL del punto de conexión de vector de búsqueda
| Aptitud | SIN PERMISOS | PUEDE CREAR | PUEDE USAR | PUEDE ADMINISTRAR |
|---|---|---|---|---|
| Obtención del punto de conexión | x | x | x | |
| Enumerar puntos de conexión | x | x | x | |
| Creación de un punto de conexión | x | x | x | |
| Usar punto de conexión (crear índice) | x | x | ||
| Eliminación de un punto de conexión | x | |||
| Modificar permisos | x |