Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Halaman ini menjelaskan detail tentang izin yang tersedia untuk objek ruang kerja yang berbeda.
Gambaran umum daftar kontrol akses
Di Azure Databricks, Anda dapat menggunakan daftar kontrol akses (ACL) untuk mengonfigurasi izin untuk mengakses objek tingkat ruang kerja. Admin ruang kerja memiliki izin CAN MANAGE pada semua objek di ruang kerja mereka, yang memberi mereka kemampuan untuk mengelola izin pada semua objek di ruang kerja mereka. Pengguna secara otomatis memiliki izin CAN MANAGE untuk objek yang mereka buat.
Untuk contoh cara memetakan persona yang umum ke izin pada tingkat ruang kerja, silakan lihat Proposal untuk Memulai Grup dan Izin Databricks.
Mengelola daftar kontrol akses dengan folder
Anda dapat mengelola izin objek ruang kerja dengan menambahkan objek ke folder. Objek dalam folder mewarisi semua pengaturan izin folder tersebut. Misalnya, pengguna yang memiliki izin CAN RUN pada sebuah folder memiliki izin CAN RUN pada pemberitahuan di dalam folder tersebut.
Jika Anda memberi pengguna akses ke objek di dalam folder, mereka dapat melihat nama folder induk, bahkan jika mereka tidak memiliki izin pada folder induk. Misalnya, buku catatan bernama test1.py berada dalam folder bernama Workflows. Jika Anda memberi pengguna CAN VIEW di test1.py dan tidak ada izin pada Workflows, pengguna dapat melihat bahwa folder induk diberi nama Workflows. Pengguna tidak dapat melihat atau mengakses objek lain dalam folder kecuali mereka telah diberikan izin pada objek tersebut Workflows .
Untuk mempelajari cara mengatur objek ke dalam folder, lihat peramban ruang kerja.
Pemberitahuan ACL
| Ability | TIDAK ADA IZIN | DAPAT BERJALAN | DAPAT MENGELOLA |
|---|---|---|---|
| Lihat dalam daftar peringatan | ✓ | ✓ | |
| Melihat peringatan dan hasil | ✓ | ✓ | |
| Memicu proses peringatan secara manual | ✓ | ✓ | |
| Berlangganan pemberitahuan | ✓ | ✓ | |
| Edit peringatan | ✓ | ||
| Ubah izin | ✓ | ||
| Menghapus peringatan | ✓ |
ACL komputasi
Important
Pada sumber daya komputasi yang menggunakan mode akses warisan Tidak ada isolasi yang dibagikan, pengguna dengan izin CAN ATTACH TO dapat melihat kunci akun layanan dalam file log4j. Berhati-hatilah saat memberikan izin ini. Untuk detail lebih lanjut tentang mode ini dan cara membatasi mode tersebut, lihat Apa itu kluster bersama tanpa isolasi?.
| Ability | TIDAK ADA IZIN | DAPAT MELAMPIRKAN KE | DAPAT MEMULAI ULANG | DAPAT MENGELOLA |
|---|---|---|---|---|
| Melampirkan buku catatan ke komputasi | ✓ | ✓ | ✓ | |
| Lihat UI Spark | ✓ | ✓ | ✓ | |
| Menampilkan metrik komputasi | ✓ | ✓ | ✓ | |
| Mengakhiri komputasi | ✓ | ✓ | ||
| Memulai dan memulai ulang komputasi | ✓ | ✓ | ||
| Lihat log pengandar | ✓ (lihat catatan) | |||
| Mengedit proses komputasi | ✓ | |||
| Lampirkan pustaka ke lingkungan komputasi | ✓ | |||
| Mengubah ukuran komputasi | ✓ | |||
| Ubah izin | ✓ |
Note
Rahasia tidak diredaksi dari log dan aliran driver Spark kluster. Untuk melindungi data sensitif, secara default, log driver Spark hanya dapat dilihat oleh pengguna dengan izin CAN MANAGE pada pekerjaan, mode akses khusus, dan kluster mode akses standar. Untuk mengizinkan pengguna dengan izin CAN ATTACH TO atau CAN RESTART untuk melihat log pada kluster ini, atur properti konfigurasi Spark berikut dalam konfigurasi kluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
Pada kluster Mode akses bersama Tanpa Isolasi, log driver Spark dapat dilihat oleh pengguna dengan izin CAN ATTACH TO, CAN RESTART, atau CAN MANAGE. Untuk membatasi siapa yang dapat membaca log hanya untuk pengguna dengan izin CAN MANAGE, atur spark.databricks.acl.needAdminPermissionToViewLogs ke true.
Lihat Konfigurasi Spark untuk mempelajari cara menambahkan properti Spark ke konfigurasi kluster.
Dasbor ACL
| Ability | TIDAK ADA IZIN | BISA MELIHAT/BISA MENJALANKAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|
| Menampilkan dasbor, hasil, dan himpunan data | ✓ | ✓ | ✓ | |
| Berinteraksi dengan widget | ✓ | ✓ | ✓ | |
| Segarkan beranda | ✓ | ✓ | ✓ | |
| Edit papan kontrol | ✓ | ✓ | ||
| Dasbor klon | ✓ | ✓ | ✓ | |
| Menerbitkan cuplikan dasbor | ✓ | ✓ | ||
| Ubah izin | ✓ | |||
| Menghapus dasbor | ✓ |
ACL panel kontrol lama
| Ability | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Tampilkan dalam daftar dasbor | ✓ | ✓ | ✓ | ✓ | |
| Melihat dasbor dan hasil | ✓ | ✓ | ✓ | ✓ | |
| Perbarui hasil kueri di dasbor (atau pilih parameter lain) | ✓ | ✓ | ✓ | ||
| Edit papan kontrol | ✓ | ✓ | |||
| Ubah izin | ✓ | ||||
| Menghapus dasbor | ✓ |
Mengedit papan kontrol warisan memerlukan pengaturan berbagi Jalankan sebagai penampil. Lihat Perilaku Penyegaran dan Konteks Eksekusi.
ACL untuk instans database
| Ability | TIDAK ADA IZIN | DAPAT MEMBUAT | BISA MENGGUNAKAN | DAPAT MENGELOLA |
|---|---|---|---|---|
| Dapatkan instans database | ✓ | ✓ | ✓ | |
| Daftar instansi database | ✓ | ✓ | ✓ | |
| Membuat instans database | ✓ | ✓ | ✓ | |
| Membuat tabel yang disinkronkan | ✓ | ✓ | ||
| Membuat database di Unity Catalog | ✓ | |||
| Mengubah peran Postgres | ✓ | |||
| Menghapus contoh database | ✓ | |||
| Ubah izin | ✓ | |||
| Menjeda instans database | ✓ | |||
| Melanjutkan instans database | ✓ |
Note
- Semua pengguna ruang kerja secara otomatis mewarisi izin CAN CREATE. Izin ini tidak dapat ditetapkan atau dihapus.
- Saat melakukan operasi yang berinteraksi dengan Unity Catalog, Anda harus memiliki izin pada objek Katalog Unity:
- Membuat katalog database Unity Catalog: Memerlukan hak istimewa
CREATE CATALOGpada metastore Unity Catalog. - Membuat tabel yang disinkronkan: Memerlukan izin Katalog Unity untuk membaca tabel sumber, menulis ke skema tujuan, dan menulis ke skema penyimpanan alur.
- Membuat katalog database Unity Catalog: Memerlukan hak istimewa
ACL Alur Deklaratif Lakeflow Spark
| Ability | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT BERJALAN | DAPAT MENGELOLA | ADALAH PEMILIK |
|---|---|---|---|---|---|
| Melihat detail alur kerja dan daftar alur kerja | ✓ | ✓ | ✓ | ✓ | |
| Tampilan UI Spark dan catatan driver | ✓ | ✓ | ✓ | ✓ | |
| Memulai dan menghentikan pembaruan alur | ✓ | ✓ | ✓ | ||
| Hentikan kluster pipa secara langsung | ✓ | ✓ | ✓ | ||
| Mengedit pengaturan pipeline | ✓ | ✓ | |||
| Menghapus alur | ✓ | ✓ | |||
| Pembersihan pelaksanaan dan eksperimen | ✓ | ✓ | |||
| Ubah izin | ✓ | ✓ |
tabel fitur ACL
Tabel ini menjelaskan cara mengontrol akses ke tabel fitur di ruang kerja yang tidak diaktifkan untuk Katalog Unity. Jika ruang kerja Anda diaktifkan untuk Katalog Unity, gunakan hak istimewa Katalog Unity sebagai gantinya.
Note
- Kontrol akses pada Feature Store tidak mengatur akses ke tabel Delta yang mendasari, karena akses ini diatur oleh kontrol akses tabel.
- Untuk informasi selengkapnya tentang izin tabel fitur ruang kerja, lihat Mengontrol akses ke tabel fitur di Penyimpanan Fitur Ruang Kerja (warisan).
| Ability | DAPAT MELIHAT METADATA | DAPAT MENGEDIT METADATA | DAPAT MENGELOLA |
|---|---|---|---|
| Membaca tabel fitur | ✓ | ✓ | ✓ |
| Mencari tabel fitur | ✓ | ✓ | ✓ |
| Menerbitkan tabel fitur ke toko online | ✓ | ✓ | ✓ |
| Menulis fitur ke tabel fitur | ✓ | ✓ | |
| Memperbarui deskripsi tabel fitur | ✓ | ✓ | |
| Ubah izin | ✓ | ||
| Menghapus tabel fitur | ✓ |
File ACL
| Ability | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Membaca file | ✓ | ✓ | ✓ | ✓ | |
| Comment | ✓ | ✓ | ✓ | ✓ | |
| Lampirkan dan pisahkan file | ✓ | ✓ | ✓ | ||
| Jalankan file secara interaktif | ✓ | ✓ | ✓ | ||
| Ubah file | ✓ | ✓ | |||
| Ubah izin | ✓ |
Note
UI ruang kerja mengacu pada akses khusus tampilan sebagai CAN VIEW, sementara API Izin menggunakan CAN READ untuk mewakili tingkat akses yang sama.
ACL untuk Folder
| Ability | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT MENGEDIT | DAPAT BERJALAN | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Mencantumkan objek dalam folder | ✓ | ✓ | ✓ | ✓ | ✓ |
| Menampilkan objek dalam folder | ✓ | ✓ | ✓ | ✓ | |
| Menggandakan dan mengekspor item | ✓ | ✓ | ✓ | ||
| Jalankan objek dalam folder | ✓ | ✓ | |||
| Membuat, mengimpor, dan menghapus item | ✓ | ||||
| Memindahkan dan mengganti nama item | ✓ | ||||
| Ubah izin | ✓ |
Note
UI ruang kerja mengacu pada akses khusus tampilan sebagai CAN VIEW, sementara API Izin menggunakan CAN READ untuk mewakili tingkat akses yang sama.
Ruang ACL Genie
| Ability | TIDAK ADA IZIN | BISA MELIHAT/BISA MENJALANKAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|
| Lihat daftar ruang di Genie | ✓ | ✓ | ✓ | |
| Ajukan pertanyaan kepada Genie | ✓ | ✓ | ✓ | |
| Berikan umpan balik respons | ✓ | ✓ | ✓ | |
| Menambahkan atau mengedit instruksi Genie | ✓ | ✓ | ||
| Menambahkan atau mengedit pertanyaan sampel | ✓ | ✓ | ||
| Menambahkan atau menghapus tabel yang disertakan | ✓ | ✓ | ||
| Memantau ruang | ✓ | |||
| Ubah izin | ✓ | |||
| Hapus spasi | ✓ | |||
| Menampilkan percakapan pengguna lain | ✓ |
Folder Git ACL
| Ability | TIDAK ADA IZIN | DAPAT MEMBACA | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Mencantumkan aset dalam folder | ✓ | ✓ | ✓ | ✓ | ✓ |
| Menampilkan aset dalam folder | ✓ | ✓ | ✓ | ✓ | |
| Mengkloning dan mengekspor aset | ✓ | ✓ | ✓ | ✓ | |
| Jalankan aset yang dapat dieksekusi dalam folder | ✓ | ✓ | ✓ | ||
| Mengedit dan mengganti nama aset dalam folder | ✓ | ✓ | |||
| Membuat cabang dalam folder | ✓ | ||||
| Beralih cabang di folder | ✓ | ||||
| Menarik atau mendorong percabangan ke dalam folder | ✓ | ||||
| Membuat, mengimpor, menghapus, dan memindahkan aset | ✓ | ||||
| Ubah izin | ✓ |
ACL (Daftar Kontrol Akses) Pekerjaan
| Ability | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT MENGELOLA PELAKSANAAN | ADALAH PEMILIK | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Lihat detail dan pengaturan pekerjaan | ✓ | ✓ | ✓ | ✓ | |
| Melihat hasil | ✓ | ✓ | ✓ | ✓ | |
| Menampilkan UI Spark, log pekerjaan yang dijalankan | ✓ | ✓ | ✓ | ||
| Lari sekarang | ✓ | ✓ | ✓ | ||
| Batalkan proses | ✓ | ✓ | ✓ | ||
| Edit pengaturan pekerjaan | ✓ | ✓ | |||
| Menghapus pekerjaan | ✓ | ✓ | |||
| Ubah izin | ✓ | ✓ |
Note
- Pembuat pekerjaan memiliki izin IS OWNER secara default.
- Pekerjaan tidak boleh memiliki lebih dari satu pemilik.
- Grup tidak dapat diberikan izin sebagai Pemilik.
- Pekerjaan yang dipicu melalui Jalankan Sekarang mengasumsikan izin pemilik pekerjaan dan bukan pengguna yang mengeluarkan Jalankan Sekarang.
- Kontrol akses pekerjaan berlaku untuk pekerjaan yang ditampilkan di UI Pekerjaan Lakeflow dan eksekusinya. Ini tidak berlaku untuk:
Alur kerja notebook yang menjalankan kode modular atau tertaut. Ini menggunakan izin dari notebook itu sendiri. Jika notebook berasal dari Git, salinan baru dibuat dan filenya mewarisi izin pengguna yang memicu eksekusi.
Pekerjaan yang dikirimkan oleh API. Ini menggunakan izin default notebook kecuali Anda secara eksplisit mengatur
access_control_listdalam permintaan API.
ACL untuk eksperimen MLflow
ACL eksperimen MLflow berbeda untuk eksperimen notebook dan eksperimen ruang kerja. Eksperimen buku catatan tidak dapat dikelola secara independen dari buku catatan yang membuatnya, sehingga izinnya mirip dengan izin buku catatan.
Untuk mempelajari selengkapnya tentang dua jenis eksperimen, lihat Mengatur eksekusi pelatihan dengan eksperimen MLflow.
Daftar Kontrol Akses (ACL) untuk eksperimen notebook
Mengubah izin ini juga memodifikasi izin pada buku catatan yang sesuai dengan eksperimen.
| Ability | TIDAK ADA IZIN | DAPAT MEMBACA | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Menampilkan buku catatan | ✓ | ✓ | ✓ | ✓ | |
| Komentar pada buku catatan | ✓ | ✓ | ✓ | ✓ | |
| Melampirkan/melepaskan notebook ke komputasi | ✓ | ✓ | ✓ | ||
| Menjalankan perintah di buku catatan | ✓ | ✓ | ✓ | ||
| Mengedit buku catatan | ✓ | ✓ | |||
| Ubah izin | ✓ |
ACL untuk eksperimen di lingkungan kerja
| Ability | TIDAK ADA IZIN | DAPAT MEMBACA | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|
| Lihat eksperimen | ✓ | ✓ | ✓ | |
| Pencatatan log untuk eksperimen | ✓ | ✓ | ||
| Menyunting eksperimen | ✓ | ✓ | ||
| Menghapus eksperimen | ✓ | |||
| Ubah izin | ✓ |
Model MLflow ACL
Tabel ini menjelaskan cara mengontrol akses ke model terdaftar di ruang kerja yang tidak diaktifkan untuk Katalog Unity. Jika ruang kerja Anda diaktifkan untuk Katalog Unity, gunakan hak istimewa Katalog Unity sebagai gantinya.
| Ability | TIDAK ADA IZIN | DAPAT MEMBACA | DAPAT MENGEDIT | DAPAT MENGELOLA VERSI PENAHAPAN | DAPAT MENGELOLA VERSI PRODUKSI | DAPAT MENGELOLA |
|---|---|---|---|---|---|---|
| Melihat detail model, versi, permintaan transisi tahap proses, kegiatan, dan URL pengunduhan artefak | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Meminta transisi fase versi model | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Menambahkan versi ke model | ✓ | ✓ | ✓ | ✓ | ||
| Memperbarui model dan deskripsi versi | ✓ | ✓ | ✓ | ✓ | ||
| Menambahkan atau mengedit tag | ✓ | ✓ | ✓ | ✓ | ||
| Versi model transisi antar tahap | ✓ | ✓ | ✓ | |||
| Menyetujui permintaan transisi | ✓ | ✓ | ✓ | |||
| Membatalkan permintaan transisi | ✓ | |||||
| Mengganti nama model | ✓ | |||||
| Ubah izin | ✓ | |||||
| Menghapus model dan versi model | ✓ |
ACL Daftar Kontrol Akses Buku Catatan
| Ability | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Lihat sel | ✓ | ✓ | ✓ | ✓ | |
| Comment | ✓ | ✓ | ✓ | ✓ | |
| Jalankan menggunakan alur kerja %run atau buku catatan | ✓ | ✓ | ✓ | ✓ | |
| Pasang dan pisahkan notebook | ✓ | ✓ | ✓ | ||
| Jalankan perintah | ✓ | ✓ | ✓ | ||
| Mengedit sel | ✓ | ✓ | |||
| Ubah izin | ✓ |
Note
UI ruang kerja mengacu pada akses khusus tampilan sebagai CAN VIEW, sementara API Izin menggunakan CAN READ untuk mewakili tingkat akses yang sama.
Daftar Kontrol Akses untuk Kumpulan
| Ability | TIDAK ADA IZIN | DAPAT MELAMPIRKAN KE | DAPAT MENGELOLA |
|---|---|---|---|
| Menghubungkan kluster ke kumpulan | ✓ | ✓ | |
| Menghapus kumpulan | ✓ | ||
| Mengedit kumpulan | ✓ | ||
| Ubah izin | ✓ |
Permintaan ACL
| Ability | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Menampilkan kueri sendiri | ✓ | ✓ | ✓ | ✓ | |
| Lihat dalam daftar pertanyaan | ✓ | ✓ | ✓ | ✓ | |
| Melihat teks kueri | ✓ | ✓ | ✓ | ✓ | |
| Melihat hasil kueri | ✓ | ✓ | ✓ | ✓ | |
| Me-refresh hasil kueri (atau pilih parameter yang berbeda) | ✓ | ✓ | ✓ | ||
| Sertakan kueri di dalam dasbor | ✓ | ✓ | ✓ | ||
| Mengubah gudang SQL atau sumber data | ✓ | ✓ | ✓ | ||
| Mengedit teks kueri | ✓ | ✓ | |||
| Ubah izin | ✓ | ||||
| Menghapus kueri | ✓ |
ACL kueri editor SQL warisan
| Ability | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Menampilkan kueri sendiri | ✓ | ✓ | ✓ | ✓ | |
| Lihat dalam daftar pertanyaan | ✓ | ✓ | ✓ | ✓ | |
| Melihat teks kueri | ✓ | ✓ | ✓ | ✓ | |
| Melihat hasil kueri | ✓ | ✓ | ✓ | ✓ | |
| Me-refresh hasil kueri (atau pilih parameter yang berbeda) | ✓ | ✓ | ✓ | ||
| Sertakan kueri di dalam dasbor | ✓ | ✓ | ✓ | ||
| Mengedit teks kueri | ✓ | ✓ | |||
| Mengubah gudang SQL atau sumber data | ✓ | ||||
| Ubah izin | ✓ | ||||
| Menghapus kueri | ✓ |
Rahasia ACL
| Ability | READ | WRITE | MANAGE |
|---|---|---|---|
| Membaca lingkup rahasia | ✓ | ✓ | ✓ |
| Daftar rahasia-rahasia dalam cakupan | ✓ | ✓ | ✓ |
| Menulis ke lingkup rahasia | ✓ | ✓ | |
| Ubah izin | ✓ |
ACL titik akhir layanan
| Ability | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT MELAKUKAN KUERI | DAPAT MENGELOLA |
|---|---|---|---|---|
| Dapatkan titik akhir | ✓ | ✓ | ✓ | |
| Mencantumkan titik akhir | ✓ | ✓ | ✓ | |
| Titik akhir kueri | ✓ | ✓ | ||
| Memperbarui konfigurasi titik akhir | ✓ | |||
| Menghapus titik akhir | ✓ | |||
| Ubah izin | ✓ |
Kontrol Akses Gudang Data SQL
| Ability | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT MEMANTAU | BISA MENGGUNAKAN | ADALAH PEMILIK | DAPAT MENGELOLA |
|---|---|---|---|---|---|---|
| Memulai gudang | ✓ | ✓ | ✓ | ✓ | ||
| Melihat detail gudang | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Menampilkan kueri gudang | ✓ | ✓ | ✓ | ✓ | ||
| Jalankan kueri | ✓ | ✓ | ✓ | ✓ | ||
| Lihat tab pemantauan gudang | ✓ | ✓ | ✓ | ✓ | ||
| Hentikan gudang | ✓ | ✓ | ||||
| Menghapus gudang | ✓ | ✓ | ||||
| Edit gudang | ✓ | ✓ | ||||
| Ubah izin | ✓ | ✓ |
ACL titik akhir pencarian vektor
| Ability | TIDAK ADA IZIN | DAPAT MEMBUAT | BISA MENGGUNAKAN | DAPAT MENGELOLA |
|---|---|---|---|---|
| Dapatkan titik akhir | ✓ | ✓ | ✓ | |
| Mencantumkan titik akhir | ✓ | ✓ | ✓ | |
| Membuat titik akhir | ✓ | ✓ | ✓ | |
| Gunakan titik akhir (buat indeks) | ✓ | ✓ | ||
| Menghapus titik akhir | ✓ | |||
| Ubah izin | ✓ |