Elenchi di controllo di accesso
Questo articolo descrive in dettaglio le autorizzazioni disponibili per i diversi oggetti dell'area di lavoro.
Nota
Il controllo di accesso richiede un piano Premium.
Le impostazioni di controllo di accesso sono disabilitate per impostazione predefinita nelle aree di lavoro aggiornate dal piano Standard al piano Premium. Una volta abilitata un'impostazione di controllo di accesso, non può essere disabilitata. Per maggiori informazioni, si veda Gli elenchi dei controlli di accesso possono essere abilitati nelle aree di lavoro aggiornate.
Panoramica degli elenchi di controllo di accesso
In Azure Databricks è possibile usare elenchi di controllo di accesso (ACL) per configurare l'autorizzazione per accedere agli oggetti a livello di area di lavoro. Gli amministratori dell'area di lavoro hanno l'autorizzazione CAN MANAGE per tutti gli oggetti nell'area di lavoro, che consente di gestire le autorizzazioni per tutti gli oggetti nelle aree di lavoro. Gli utenti dispongono automaticamente dell'autorizzazione CAN MANAGE per gli oggetti creati.
Per un esempio di come eseguire il mapping di utenti tipici alle autorizzazioni a livello di area di lavoro, si veda Proposta di introduzione ai gruppi e alle autorizzazioni di Databricks.
Gestire gli elenchi di controllo di accesso con le cartelle
È possibile gestire le autorizzazioni per gli oggetti dell'area di lavoro aggiungendo oggetti alle cartelle. Gli oggetti in una cartella ereditano tutte le impostazioni delle autorizzazioni della cartella. Ad esempio, un utente che ha l'autorizzazione CAN RUN su una cartella ha l'autorizzazione CAN RUN sugli avvisi in quella cartella.
Se si concede l'accesso a un oggetto all'interno della cartella, l'utente può visualizzare il nome della cartella padre, anche se non ha i permessi per la cartella padre. Ad esempio, un notebook denominato test1.py si trova in una cartella denominata Workflows. Se si concede a un utente un’autorizzazione CAN READ per test1.py e nessuna autorizzazione per Workflows, l'utente può vedere che la cartella padre è denominata Workflows. L'utente non può visualizzare o accedere ad altri oggetti nella cartella Workflows, a meno che non disponga delle autorizzazioni per tali oggetti.
Per informazioni sull'organizzazione degli oggetti in cartelle, si veda Visualizzatore area di lavoro.
ACL della dashboard di IA/BI.
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VEDERE / PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Visualizzare dashboard e risultati | x | x | x | |
| Interagire con i widget | x | x | x | |
| Aggiornare la dashboard | x | x | x | |
| Modificare il dashboard | x | x | ||
| Clonare una dashboard | x | x | x | |
| Pubblicare lo snapshot della dashboard | x | x | ||
| Modify permissions | x | |||
| Eliminare le dashboard | x |
ACL per gli avvisi
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ ESEGUIRE | PUÒ GESTIRE |
|---|---|---|---|
| Vedere nell'elenco degli avvisi | x | x | |
| Visualizzare un avviso e un risultato | x | x | |
| Attivare manualmente l'esecuzione degli avvisi | x | x | |
| Sottoscrivere le notifiche | x | x | |
| Modificare l'avviso | x | ||
| Modify permissions | x | ||
| Eliminare un avviso | x |
ACL di calcolo
Importante
Gli utenti con autorizzazioni CAN ATTACH TO possono visualizzare le chiavi dell'account del servizio nel file log4j. Prestare attenzione quando si concede questo livello di autorizzazione.
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ COLLEGARE A | PUÒ RIAVVIARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Collegare un notebook a risorse di calcolo | x | x | x | |
| View Spark UI | x | x | x | |
| Visualizzare metriche di calcolo | x | x | x | |
| Terminare un ambiente di calcolo | x | x | ||
| Avviare e riavviare un ambiente di calcolo | x | x | ||
| Visualizzare i Log del Driver | x (vedere la nota) | |||
| Modificare un ambiente di calcolo | x | |||
| Collegare la libreria a un ambiente di calcolo | x | |||
| Ridimensionare un ambiente di calcolo | x | |||
| Modify permissions | x |
Nota
I segreti non vengono elaborati dal log stdout e stderr dai flussi del driver Spark di un cluster. Per proteggere i dati sensibili, per impostazione predefinita, i log dei driver Spark sono visualizzabili solo dagli utenti con l'autorizzazione CAN MANAGE per il processo, la modalità di accesso utente singolo e i cluster in modalità di accesso condiviso. Per consentire agli utenti con l'autorizzazione CAN ATTACH TO o CAN RESTART per visualizzare i log in questi cluster, impostare la proprietà di configurazione Spark seguente nella configurazione del cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
Nei cluster in modalità di accesso condiviso senza isolamento i log del driver Spark possono essere visualizzati dagli utenti con l'autorizzazione CAN ATTACH TO o CAN MANAGE. Per limitare la lettura dei log ai soli utenti con l'autorizzazione CAN MANAGE, impostare spark.databricks.acl.needAdminPermissionToViewLogs su true.
Vedere Configurazione Spark per avere informazioni su come aggiungere proprietà Spark a una configurazione del cluster.
ACL della dashboard legacy
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Vedere in Elencare le dashboard. | x | x | x | x | |
| Visualizzare dashboard e risultati | x | x | x | x | |
| Aggiornare i risultati della query nella dashboard (o scegliere parametri diversi) | x | x | x | ||
| Modificare il dashboard | x | x | |||
| Modify permissions | x | ||||
| Eliminare le dashboard | x |
La modifica di una dashboard legacy richiede l'impostazione di condivisione Esegui come visualizzatore. Vedere Comportamento di aggiornamento e contesto di esecuzione.
ACL delle tabelle Delta Live
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ ESEGUIRE | PUÒ GESTIRE | È PROPRIETARIO |
|---|---|---|---|---|---|
| Visualizzare i dettagli della pipeline e elencare la pipeline | x | x | x | x | |
| Visualizzare l'interfaccia utente di Spark e i log dei driver | x | x | x | x | |
| Avviare e arrestare un aggiornamento della pipeline | x | x | x | ||
| Arrestare direttamente i cluster di pipeline | x | x | x | ||
| Modificare le impostazioni della pipeline | x | x | |||
| Eliminare la pipeline | x | x | |||
| Rimuovere definitivamente esecuzioni ed esperimenti | x | x | |||
| Modify permissions | x | x |
ACL per le tabelle delle funzionalità
Questa tabella descrive come controllare l'accesso alle tabelle delle funzionalità nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per il catalogo Unity, è necessario utilizzare i privilegi del catalogo Unity.
Nota
- Il controllo di accesso dell'archivio funzionalità non regola l'accesso alla tabella Delta sottostante, regolata dal controllo di accesso alle tabelle.
- Per altre informazioni sulle autorizzazioni delle tabelle delle funzionalità dell'area di lavoro, si veda Controllare l'accesso alle tabelle delle funzionalità.
| Capacità | PUÒ VISUALIZZARE I METADATI | PUÒ MODIFICARE I METADATI | PUÒ GESTIRE |
|---|---|---|---|
| Leggere la tabella delle funzionalità | X | X | X |
| Tabella delle funzioni di ricerca | X | X | X |
| Pubblicare la tabella delle funzionalità nello store online | X | X | X |
| Scrivere funzionalità nella tabella delle funzionalità | X | X | |
| Aggiornare la descrizione della tabella delle funzionalità | X | X | |
| Modify permissions | X | ||
| Eliminare la tabella delle funzionalità | X |
ACL di file
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Leggere un file | x | x | x | x | |
| Commento | x | x | x | x | |
| Allegare e scollegare un file | x | x | x | ||
| Eseguire il file in modo interattivo | x | x | x | ||
| Edit file (Modifica file) | x | x | |||
| Modify permissions | x |
ACL per le cartelle
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ MODIFICARE | PUÒ ESEGUIRE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Elencare gli oggetti nella cartella | x | x | x | x | x |
| Visualizzare gli oggetti nella cartella | x | x | x | x | |
| Clonare ed esportare elementi | x | x | x | ||
| Eseguire oggetti nella cartella | x | x | |||
| Creare, importare ed eliminare elementi | x | ||||
| Spostare e rinominare elementi | x | ||||
| Modify permissions | x |
ACL di spazio Genie
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VEDERE / PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Vedere nell'elenco degli spazi Genie | x | x | x | x |
| Fare domande a Genie | x | x | x | |
| Fornire feedback sulla risposta | x | x | x | |
| Aggiungere o modificare istruzioni per Genie | x | x | ||
| Aggiungere o modificare domande di esempio | x | x | ||
| Aggiungere o rimuovere tabelle incluse | x | x | ||
| Monitorare uno spazio | x | |||
| Modify permissions | x | |||
| Eliminare uno spazio | x | |||
| Visualizzare le conversazioni di altri utenti | x |
ACL per le cartelle Git
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Elencare le risorse in una cartella | x | x | x | x | x |
| Visualizzare le risorse in una cartella | x | x | x | x | |
| Clonare ed esportare risorse | x | x | x | x | |
| Eseguire le risorse eseguibili in una cartella | x | x | x | ||
| Modificare e rinominare le risorse in una cartella | x | x | |||
| Creare un ramo in una cartella | x | ||||
| Eseguire il pull o il push di un ramo in una cartella | x | ||||
| Creare, importare, eliminare e spostare risorse | x | ||||
| Modify permissions | x |
ACL di processo
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ GESTIRE L’ESECUZIONE | È PROPRIETARIO | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizzare dettagli e impostazioni del processo | x | x | x | x | |
| Visualizza risultati | x | x | x | x | |
| Visualizzare l’interfaccia utente di Apache Spark e i logo di esecuzione dei processi | x | x | x | ||
| Eseguire adesso | x | x | x | ||
| Annulla esecuzione | x | x | x | ||
| Modifica impostazioni del processo | x | x | |||
| Eliminare un processo | x | x | |||
| Modify permissions | x | x |
ACL per esperimenti MLflow
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|
| Visualizzare le esecuzioni di confronto delle informazioni di esecuzione | x | x | x | |
| Visualizzare, elencare e scaricare gli artefatti di esecuzione | x | x | x | |
| Creare, eliminare e ripristinare le esecuzioni | x | x | ||
| Parametri di esecuzione del log, metriche, tag | x | x | ||
| Artefatti di esecuzione del log | x | x | ||
| Modificare i tag dell'esperimento | x | x | ||
| Rimuovere definitivamente esecuzioni ed esperimenti | x | |||
| Modify permissions | x |
ACL del modello MLflow
Questa tabella descrive come controllare l'accesso per registrare modelli nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per il catalogo Unity, è necessario utilizzare i privilegi del catalogo Unity.
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ MODIFICARE | PUÒ GESTIRE LE VERSIONI DI GESTIONE TEMPORANEA | PUÒ GESTIRE LE VERSIONI DI PRODUZIONE | PUÒ GESTIRE |
|---|---|---|---|---|---|---|
| Visualizzare i dettagli del modello, le versioni, le richieste di transizione di fase, le attività e gli URI di download degli artefatti | x | x | x | x | x | |
| Richiedere una transizione della fase di versione del modello | x | x | x | x | x | |
| Aggiungere una versione a un modello | x | x | x | x | ||
| Aggiornare il modello e la descrizione della versione | x | x | x | x | ||
| Aggiungere o modificare tag | x | x | x | x | ||
| Eseguire la transizione della versione del modello tra fasi | x | x | x | |||
| Approvare una richiesta di transizione | x | x | x | |||
| Annullare una richiesta di transizione | x | |||||
| Rename Model | x | |||||
| Modify permissions | x | |||||
| Eliminare un modello o versioni del modello | x |
ACL per notebook
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ LEGGERE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizza celle | x | x | x | x | |
| Commento | x | x | x | x | |
| Eseguire tramite %run o flussi di lavoro del notebook | x | x | x | x | |
| Collegare e scollegare notebook | x | x | x | ||
| Eseguire comandi | x | x | x | ||
| Modifica celle | x | x | |||
| Modify permissions | x |
ACL per pool
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ COLLEGARE A | PUÒ GESTIRE |
|---|---|---|---|
| Associare un cluster a un pool | x | x | |
| Eliminare un pool | x | ||
| Modificare un pool | x | ||
| Modify permissions | x |
ACL per query
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ ESEGUIRE | PUÒ MODIFICARE | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Visualizzare query personalizzate | x | x | x | x | |
| Vedere negli elenchi di query | x | x | x | x | |
| Visualizzare il testo della query | x | x | x | x | |
| Visualizza il risultato della query | x | x | x | x | |
| Aggiornare i risultati della query (o scegliere parametri diversi) | x | x | x | ||
| Includere la query in una dashboard | x | x | x | ||
| Modificare il testo della query | x | x | |||
| Modificare Warehouse SQL o origine dati | x | ||||
| Modify permissions | x | ||||
| query di eliminazione | x |
ACL per segreti
| Capacità | READ | WRITE | MANAGE |
|---|---|---|---|
| Leggere l'ambito del segreto | x | x | x |
| Elencare i segreti nell'ambito | x | x | x |
| Scrivere nell'ambito del segreto | x | x | |
| Modify permissions | x |
ACL per endpoint di gestione
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ VISUALIZZARE | PUÒ ESEGUIRE QUERY | PUÒ GESTIRE |
|---|---|---|---|---|
| Ottenere l'endpoint | x | x | x | |
| Elencare endpoint | x | x | x | |
| Endpoint di query | x | x | ||
| Aggiornare la configurazione di un endpoint | x | |||
| Eliminare un endpoint | x | |||
| Modify permissions | x |
ACl per warehouse SQL
| Capacità | NESSUNA AUTORIZZAZIONE | PUÒ USARE | PUÒ MONITORARE | È PROPRIETARIO | PUÒ GESTIRE |
|---|---|---|---|---|---|
| Avviare il warehouse | x | x | x | x | |
| Visualizzare i dettagli del warehouse | x | x | x | x | |
| Visualizzare le query del warehouse | x | x | x | ||
| Scheda Visualizza monitoraggio warehouse | x | x | x | ||
| Arrestare il warehouse | x | x | |||
| Eliminare il warehouse | x | x | |||
| Modificare il warehouse | x | x | |||
| Modify permissions | x | x |