Listes de contrôle d’accès
Cet article présente des informations sur les autorisations disponibles pour les différents objets d’espace de travail.
Remarque
Le contrôle d'accès nécessite le plan Premium.
Les paramètres de contrôle d’accès sont désactivés par défaut sur les espaces de travail mis à niveau du plan Standard vers le plan Premium. Une fois qu’un paramètre de contrôle d’accès est activé, il ne peut pas être désactivé. Pour plus d’informations, consultezles listes de contrôles d’accès peuvent être activées sur les espaces de travail mis à niveau.
Vue d’ensemble des listes de contrôle d’accès
Dans Azure Databricks, vous pouvez utiliser des listes de contrôle d’accès (ACL) pour configurer l’autorisation d’accéder aux objets au niveau de l’espace de travail. Les administrateurs d’espace de travail ont l’autorisation PEUT GÉRER sur tous les objets de leur espace de travail, ce qui leur donne la possibilité de gérer les autorisations sur tous les objets de leur espace de travail. Les utilisateurs ont automatiquement l’autorisation PEUT GÉRER pour les objets qu’ils créent.
Pour découvrir un exemple de mappage de personnages typiques avec des autorisations au niveau de l'espace de travail, consultez la Proposition de démarrage avec les groupes et les autorisations Databricks.
Gérer les listes de contrôle d’accès avec des dossiers
Vous pouvez gérer des autorisations d’objets d’espace de travail en ajoutant des objets aux dossiers. Les objets d’un dossier héritent de tous les paramètres d’autorisation de ce dossier. Par exemple, un utilisateur qui dispose de l’autorisation PEUT EXÉCUTER sur un dossier dispose de l’autorisation PEUT EXÉCUTER sur les alertes de ce dossier.
Si vous accordez à un utilisateur l’accès à un objet à l’intérieur du dossier, il peut afficher le nom du dossier parent, même s’il n’a pas d’autorisations sur le dossier parent. Par exemple, un notebook nommé test1.py
se trouve dans un dossier nommé Workflows
. Si vous accordez des autorisations CAN READ à un utilisateur sur test1.py
et aucune autorisation sur Workflows
, l’utilisateur peut voir que le dossier parent est nommé Workflows
. L’utilisateur ne peut pas afficher ou accéder à d’autres objets du dossier Workflows
, sauf si ces objets ont reçu des autorisations.
Pour découvrir des informations sur l’organisation des objets dans des dossiers, consultez Navigateur d’espace de travail.
ACL du tableau de bord IA/BI
Possibilité | NO PERMISSIONS | PEUT VISUALISER/PEUT EXÉCUTER | PEUT MODIFIER | PEUT GÉRER |
---|---|---|---|---|
Afficher le tableau de bord et les résultats | x | x | x | |
Interagir avec des widgets | x | x | x | |
Actualiser le tableau de bord | x | x | x | |
Modifier le tableau de bord | x | x | ||
Cloner le tableau de bord | x | x | x | |
Publier une capture instantanée de tableau de bord | x | x | ||
Modifier les autorisations | x | |||
Supprimer un tableau de bord | x |
ACL des alertes
Possibilité | NO PERMISSIONS | PEUT EXÉCUTER | PEUT GÉRER |
---|---|---|---|
Voir dans la liste d’alertes | x | x | |
Afficher l’alerte et le résultat | x | x | |
Déclencher manuellement l’exécution de l’alerte | x | x | |
S’abonner aux notifications | x | x | |
Modifiez l'alerte | x | ||
Modifier les autorisations | x | ||
Supprimer l'alerte | x |
ACL de calcul
Important
Les utilisateurs disposant de l’autorisation de PEUT ATTACHER À peuvent afficher les clés de compte de service dans le fichier log4j. Soyez vigilant lorsque vous accordez ce niveau d’autorisation.
Possibilité | AUCUNE AUTORISATION | PEUT ATTACHER À | PEUT REDÉMARRER | PEUT GÉRER |
---|---|---|---|---|
Attacher le notebook au calcul | x | x | x | |
Afficher l’interface utilisateur Spark | x | x | x | |
Afficher les métriques de calcul | x | x | x | |
Terminer le calcul | x | x | ||
Démarrez et redémarrez le calcul | x | x | ||
Activer les journaux d’activités des pilotes | x (voir la remarque) | |||
Modifier le calcul | x | |||
Attacher la bibliothèque au calcul | x | |||
Redimensionner le calcul | x | |||
Modifier les autorisations | x |
Remarque
Les secrets ne sont pas expurgés des flux stdout
et stderr
du journal du pilote Spark d’un cluster. Pour protéger des données sensibles, les journaux de pilote Spark sont affichables par défaut uniquement par des utilisateurs ayant une autorisation PEUT GÉRER sur un travail, un mode d’accès utilisateur unique et des clusters en mode d’accès partagé. Pour autoriser des utilisateurs avec l’autorisation PEUT ATTACHER À ou PEUT REDÉMARRER à afficher les journaux sur ces clusters, définissez la propriété de configuration Spark suivante dans la configuration de cluster : spark.databricks.acl.needAdminPermissionToViewLogs false
.
Sur des clusters en mode d’accès Aucune isolation partagée, les utilisateurs peuvent afficher des journaux de pilote Spark avec l’autorisation PEUT ATTACHER À ou PEUT GÉRER. Pour limiter les utilisateurs qui peuvent lire les journaux aux seuls utilisateurs avec l’autorisation PEUT GÉRER, définissez spark.databricks.acl.needAdminPermissionToViewLogs
sur true
.
Consultez Configuration Spark pour découvrir comment ajouter des propriétés Spark à une configuration de cluster.
ACL de tableaux de bord héritées
Possibilité | AUCUNE AUTORISATION | PEUT AFFICHER | PEUT EXÉCUTER | PEUT MODIFIER | PEUT GÉRER |
---|---|---|---|---|---|
Afficher dans la liste des tableaux de bord | x | x | x | x | |
Afficher le tableau de bord et les résultats | x | x | x | x | |
Actualiser les résultats de la requête dans le tableau de bord (ou choisir des paramètres différents) | x | x | x | ||
Modifier le tableau de bord | x | x | |||
Modifier les autorisations | x | ||||
Supprimer un tableau de bord | x |
La modification d’un tableau de bord hérité nécessite le paramètre de partage Exécuter en tant que lecteur. Consultez Comportement d’actualisation et contexte d’exécution.
ACL Delta Live Tables
Possibilité | AUCUNE AUTORISATION | PEUT AFFICHER | PEUT EXÉCUTER | PEUT GÉRER | EST PROPRIÉTAIRE |
---|---|---|---|---|---|
Afficher les détails du pipeline et lister les pipelines | x | x | x | x | |
Afficher les journaux de l’interface utilisateur et du pilote Spark | x | x | x | x | |
Démarrer et arrêter une mise à jour du pipeline | x | x | x | ||
Arrêter directement les clusters du pipeline | x | x | x | ||
Modifier les paramètres du pipeline | x | x | |||
Supprimer le pipeline | x | x | |||
Vider les exécutions et les expériences | x | x | |||
Modifier les autorisations | x | x |
ACL de tables de caractéristiques
Cette table décrit comment contrôler l’accès aux tables de fonctionnalités dans les espaces de travail qui ne sont pas activés pour Unity Catalog. Si votre espace de travail est activé pour Unity Catalog, utilisez plutôt les privilèges Unity Catalog.
Remarque
- Le contrôle d’accès au magasin de caractéristiques ne régit pas l’accès à la table Deltasous-jacente, qui est régie par le contrôle d’accès aux tables.
- Pour plus d’informations sur les autorisations des tables de fonctionnalités de l’espace de travail, consultez Contrôle de l’accès aux tables de fonctionnalités.
Possibilité | PEUT AFFICHER LES MÉTADONNÉES | PEUT MODIFIER LES MÉTADONNÉES | PEUT GÉRER |
---|---|---|---|
Lire la table de caractéristiques | X | X | X |
Rechercher dans la table de caractéristiques | X | X | X |
Publier la table de caractéristiques dans le magasin en ligne | X | X | X |
Écrire des caractéristiques dans la table de caractéristiques | X | X | |
Mettre à jour la description de la table de caractéristiques | X | X | |
Modifier les autorisations | X | ||
Supprimer la table de caractéristiques | X |
ACL de fichiers
Possibilité | NO PERMISSIONS | PEUT LIRE | PEUT EXÉCUTER | PEUT MODIFIER | PEUT GÉRER |
---|---|---|---|---|---|
Lire un fichier | x | x | x | x | |
Commentaire | x | x | x | x | |
Attacher et détacher un fichier | x | x | x | ||
Exécuter un fichier de façon interactive | x | x | x | ||
Modifier le fichier | x | x | |||
Modifier les autorisations | x |
ACL de dossiers
Possibilité | NO PERMISSIONS | PEUT LIRE | PEUT MODIFIER | PEUT EXÉCUTER | PEUT GÉRER |
---|---|---|---|---|---|
Lister les objets du dossier | x | x | x | x | x |
Afficher les objets du dossier | x | x | x | x | |
Cloner et exporter des éléments | x | x | x | ||
Exécuter les objets du dossier | x | x | |||
Créer, importer et supprimer des éléments | x | ||||
Déplacer et renommer des éléments | x | ||||
Modifier les autorisations | x |
Listes de contrôle d’accès d’espace Genie
Possibilité | NO PERMISSIONS | PEUT VISUALISER/PEUT EXÉCUTER | PEUT MODIFIER | PEUT GÉRER |
---|---|---|---|---|
Voir dans la liste d’espaces Genie | x | x | x | x |
Poser des questions sur Genie | x | x | x | |
Fournir des commentaires sur la réponse | x | x | x | |
Ajouter ou modifier des instructions Genie | x | x | ||
Ajouter ou modifier des exemples de questions | x | x | ||
Ajouter ou supprimer des tables incluses | x | x | ||
Surveiller un espace | x | |||
Modifier les autorisations | x | |||
Supprimer de l’espace | x | |||
Afficher les conversations d’autres utilisateurs | x |
ACL de dossiers Git
Possibilité | NO PERMISSIONS | PEUT LIRE | PEUT EXÉCUTER | PEUT MODIFIER | PEUT GÉRER |
---|---|---|---|---|---|
Lister les ressources dans un dossier | x | x | x | x | x |
Afficher les ressources dans un dossier | x | x | x | x | |
Cloner et exporter des ressources | x | x | x | x | |
Exécuter des ressources exécutables dans le dossier | x | x | x | ||
Modifier et renommer des ressources dans un dossier | x | x | |||
Créer une branche dans un dossier | x | ||||
Tirer (pull) ou envoyer (push) une branche dans un dossier | x | ||||
Créer, importer, supprimer et déplacer des ressources | x | ||||
Modifier les autorisations | x |
ACL de travaux
Possibilité | AUCUNE AUTORISATION | PEUT AFFICHER | PEUT GÉRER L’EXÉCUTION | EST PROPRIÉTAIRE | PEUT GÉRER |
---|---|---|---|---|---|
Afficher les détails et paramètres du travail | x | x | x | x | |
Afficher les résultats | x | x | x | x | |
Afficher l’interface utilisateur Spark, journaux d’une exécution de travail | x | x | x | ||
Exécuter maintenant | x | x | x | ||
Annuler l’exécution | x | x | x | ||
Modifier les paramètres d’un travail | x | x | |||
Supprimer le travail | x | x | |||
Modifier les autorisations | x | x |
Listes de contrôle d’accès d’expérience MLflow
Possibilité | NO PERMISSIONS | PEUT LIRE | PEUT MODIFIER | PEUT GÉRER |
---|---|---|---|---|
Afficher les informations sur les exécutions, rechercher et comparer les exécutions | x | x | x | |
Afficher, lister et télécharger des artefacts d’exécution | x | x | x | |
Créer, supprimer et restaurer des exécutions | x | x | ||
Journaliser les paramètres, les métriques et les étiquettes des exécutions | x | x | ||
Journaliser les artefacts des exécutions | x | x | ||
Modifier les étiquettes des expériences | x | x | ||
Vider les exécutions et les expériences | x | |||
Modifier les autorisations | x |
Listes de contrôle d’accès de modèle MLflow
Cette table décrit comment contrôler l’accès aux modèles enregistrés dans les espaces de travail qui ne sont pas activés pour Unity Catalog. Si votre espace de travail est activé pour Unity Catalog, utilisez plutôt les privilèges Unity Catalog.
Possibilité | NO PERMISSIONS | PEUT LIRE | PEUT MODIFIER | PEUT GÉRER LES VERSIONS DE PRÉPRODUCTION | PEUT GÉRER LES VERSIONS DE PRODUCTION | PEUT GÉRER |
---|---|---|---|---|---|---|
Afficher les détails du modèle, les versions, les demandes de transition de phase, les activités et les URI de téléchargement d’artefacts | x | x | x | x | x | |
Demander une transition de phase pour une version de modèle | x | x | x | x | x | |
Ajouter une version à un modèle | x | x | x | x | ||
Mettre à jour la description d’un modèle et d’une version | x | x | x | x | ||
Ajouter ou modifier des balises | x | x | x | x | ||
Effectuer la transition d’une version de modèle entre des phases | x | x | x | |||
Approuver une demande de transition | x | x | x | |||
Annuler une demande de transition | x | |||||
Renommer un modèle | x | |||||
Modifier les autorisations | x | |||||
Supprimer un modèle et des versions de modèle | x |
ACL de notebooks
Possibilité | NO PERMISSIONS | PEUT LIRE | PEUT EXÉCUTER | PEUT MODIFIER | PEUT GÉRER |
---|---|---|---|---|---|
Afficher les cellules | x | x | x | x | |
Commentaire | x | x | x | x | |
Exécuter via %run ou des workflows de notebook | x | x | x | x | |
Attacher et détacher des notebooks | x | x | x | ||
Commandes d’exécution | x | x | x | ||
Modifier les cellules | x | x | |||
Modifier les autorisations | x |
ACL de pools
Possibilité | AUCUNE AUTORISATION | PEUT ATTACHER À | PEUT GÉRER |
---|---|---|---|
Attacher un cluster à un pool | x | x | |
Supprimer un pool | x | ||
Modifier un pool | x | ||
Modifier les autorisations | x |
ACL de demandes
Possibilité | AUCUNE AUTORISATION | PEUT AFFICHER | PEUT EXÉCUTER | PEUT MODIFIER | PEUT GÉRER |
---|---|---|---|---|---|
Afficher ses propres requêtes | x | x | x | x | |
Voir dans la liste des requêtes | x | x | x | x | |
Afficher le texte de la requête | x | x | x | x | |
Afficher les résultats de la requête | x | x | x | x | |
Actualiser le résultat de la requête (ou choisir des paramètres différents) | x | x | x | ||
Inclure la requête dans un tableau de bord | x | x | x | ||
Modifier le texte de la requête | x | x | |||
Changer d’entrepôt SQL ou de source de données | x | ||||
Modifier les autorisations | x | ||||
Delete, requête | x |
ACL de secrets
Possibilité | READ | ÉCRIRE | GÉRER |
---|---|---|---|
Lecture de l’étendue du secret | x | x | x |
Répertoriage des secrets dans l’étendue | x | x | x |
Écriture dans l’étendue du secret | x | x | |
Modifier les autorisations | x |
ACL de point de terminaison de mise en service
Possibilité | AUCUNE AUTORISATION | PEUT AFFICHER | PEUT DEMANDER | PEUT GÉRER |
---|---|---|---|---|
Obtenir un point de terminaison | x | x | x | |
Point de terminaison de liste | x | x | x | |
Point de terminaison de requête | x | x | ||
Mettre à jour la configuration du point de terminaison | x | |||
Supprimer le point de terminaison | x | |||
Modifier les autorisations | x |
ACL d’entrepôt SQL
Possibilité | AUCUNE AUTORISATION | PEUT UTILISER | PEUT MONITORER | EST PROPRIÉTAIRE | PEUT GÉRER |
---|---|---|---|---|---|
Démarrer l’entrepôt | x | x | x | x | |
Voir les détails de l’entrepôt | x | x | x | x | |
Afficher les requêtes d’entrepôt | x | x | x | ||
Onglet Voir le monitoring de l’entrepôt | x | x | x | ||
Arrêter l’entrepôt | x | x | |||
Supprimer l’entrepôt | x | x | |||
Modifier l’entrepôt | x | x | |||
Modifier les autorisations | x | x |