Toegangsbeheerlijsten
In dit artikel worden details beschreven over de machtigingen die beschikbaar zijn voor de verschillende werkruimteobjecten.
Notitie
Voor toegangsbeheer is het Premium-abonnement vereist.
Instellingen voor toegangsbeheer zijn standaard uitgeschakeld voor werkruimten die worden bijgewerkt van het Standard-abonnement naar het Premium-abonnement. Zodra een instelling voor toegangsbeheer is ingeschakeld, kan deze niet worden uitgeschakeld. Zie Toegangsbeheerlijsten kunnen worden ingeschakeld voor bijgewerkte werkruimten voor meer informatie.
Overzicht van toegangsbeheerlijsten
In Azure Databricks kunt u toegangsbeheerlijsten (ACL's) gebruiken om machtigingen te configureren voor toegang tot objecten op werkruimteniveau. Werkruimtebeheerders hebben de machtiging CAN MANAGE voor alle objecten in hun werkruimte, waardoor ze machtigingen voor alle objecten in hun werkruimten kunnen beheren. Gebruikers hebben automatisch de machtiging CAN MANAGE voor objecten die ze maken.
Zie het voorstel voor Aan de slag met Databricks-groepen en -machtigingen voor een voorbeeld van het toewijzen van typische persona's aan machtigingen op werkruimteniveau.
Toegangsbeheerlijsten beheren met mappen
U kunt machtigingen voor werkruimteobjecten beheren door objecten toe te voegen aan mappen. Objecten in een map nemen alle machtigingsinstellingen van die map over. Een gebruiker met de machtiging CAN RUN voor een map heeft bijvoorbeeld DE MACHTIGING CAN RUN voor de waarschuwingen in die map.
Als u een gebruiker toegang verleent tot een object in de map, kan deze de naam van de bovenliggende map bekijken, zelfs als deze geen machtigingen heeft voor de bovenliggende map. Een notitieblok met de naam test1.py bevindt zich bijvoorbeeld in een map met de naam Workflows. Als u een gebruiker KAN LEZEN en test1.py geen machtigingen voor Workflowsverleent, kan de gebruiker zien dat de bovenliggende map de naam Workflowsheeft. De gebruiker kan geen andere objecten in de Workflows map weergeven of openen, tenzij hij of zij machtigingen heeft gekregen.
Zie de werkruimtebrowser voor meer informatie over het ordenen van objecten in mappen.
AI/BI-dashboard-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN/UITVOEREN | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Dashboard en resultaten weergeven | x | x | x | |
| Interactie met widgets | x | x | x | |
| Het dashboard vernieuwen | x | x | x | |
| Dashboard bewerken | x | x | ||
| Dashboard klonen | x | x | x | |
| Momentopname van dashboard publiceren | x | x | ||
| Machtigingen wijzigen | x | |||
| Dashboard verwijderen | x |
ACL's voor waarschuwingen
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN UITGEVOERD | KAN WORDEN BEHEERD |
|---|---|---|---|
| Zie in de lijst met waarschuwingen | x | x | |
| Waarschuwing en resultaat weergeven | x | x | |
| Waarschuwingsuitvoering handmatig activeren | x | x | |
| Abonneren op meldingen | x | x | |
| Waarschuwing bewerken | x | ||
| Machtigingen wijzigen | x | ||
| Waarschuwing verwijderen | x |
Reken-ACL's
Belangrijk
Gebruikers met CAN ATTACH TO-machtigingen kunnen de serviceaccountsleutels in het log4j-bestand weergeven. Wees voorzichtig bij het verlenen van dit machtigingsniveau.
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEKOPPELD AAN | KAN OPNIEUW WORDEN OPGESTART | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Notebook koppelen aan berekening | x | x | x | |
| Spark-gebruikersinterface weergeven | x | x | x | |
| Metrische rekengegevens weergeven | x | x | x | |
| Rekenproces beëindigen | x | x | ||
| Rekenproces starten en opnieuw starten | x | x | ||
| Stuurprogrammalogboeken weergeven | x (zie opmerking) | |||
| Berekening bewerken | x | |||
| Bibliotheek koppelen aan berekening | x | |||
| Het formaat van de rekenkracht wijzigen | x | |||
| Machtigingen wijzigen | x |
Notitie
Geheimen worden niet bewerkt vanuit het Spark-stuurprogrammalogboek stdout en stderr de streams van een cluster. Als u gevoelige gegevens wilt beveiligen, kunnen spark-stuurprogrammalogboeken standaard alleen worden weergegeven door gebruikers met de machtiging CAN MANAGE voor de taak, de modus voor toegang van één gebruiker en clusters in de modus voor gedeelde toegang. Als u wilt dat gebruikers met de machtiging CAN ATTACH TO of CAN RESTART hebben om de logboeken op deze clusters weer te geven, stelt u de volgende Spark-configuratie-eigenschap in de clusterconfiguratie in: spark.databricks.acl.needAdminPermissionToViewLogs false
In clusters in de modus Geen isolatie voor gedeelde toegang kunnen de Spark-stuurprogrammalogboeken worden bekeken door gebruikers met de machtiging CAN ATTACH TO of CAN MANAGE. Als u wilt beperken wie de logboeken kan lezen voor alleen gebruikers met de machtiging CAN MANAGE, stelt u in spark.databricks.acl.needAdminPermissionToViewLogs op true.
Bekijk Spark-configuratie voor meer informatie over het toevoegen van Spark-eigenschappen aan een clusterconfiguratie.
Verouderde dashboard-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Weergeven in dashboardlijst | x | x | x | x | |
| Dashboard en resultaten weergeven | x | x | x | x | |
| Queryresultaten vernieuwen in het dashboard (of verschillende parameters kiezen) | x | x | x | ||
| Dashboard bewerken | x | x | |||
| Machtigingen wijzigen | x | ||||
| Dashboard verwijderen | x |
Voor het bewerken van een verouderd dashboard is de instelling Uitvoeren als viewer delen vereist. Zie Gedrag en uitvoeringscontext vernieuwen.
ACL's voor Delta Live-tabellen
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN WORDEN UITGEVOERD | KAN WORDEN BEHEERD | IS EIGENAAR |
|---|---|---|---|---|---|
| Pijplijndetails en lijstpijplijn weergeven | x | x | x | x | |
| Spark-gebruikersinterface en logboeken van stuurprogramma's weergeven | x | x | x | x | |
| Een pijplijnupdate starten en stoppen | x | x | x | ||
| Pijplijnclusters rechtstreeks stoppen | x | x | x | ||
| Pijplijninstellingen bewerken | x | x | |||
| De pijplijn verwijderen | x | x | |||
| Uitvoeringen en experimenten opschonen | x | x | |||
| Machtigingen wijzigen | x | x |
ACL's voor functietabellen
In deze tabel wordt beschreven hoe u de toegang tot functietabellen in werkruimten beheert die niet zijn ingeschakeld voor Unity Catalog. Als uw werkruimte is ingeschakeld voor Unity Catalog, gebruikt u in plaats daarvan Unity Catalog-bevoegdheden .
Notitie
- Toegangsbeheer voor Feature Store bepaalt geen toegang tot de onderliggende Delta-tabel, die wordt beheerd door toegangsbeheer voor tabellen.
- Zie Toegang tot functietabellen beheren voor functietabellen voor meer informatie over machtigingen voor werkruimtefuncties.
| Vermogen | KAN METAGEGEVENS WEERGEVEN | KAN METAGEGEVENS BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|
| Functietabel lezen | X | X | X |
| Zoekfunctietabel | X | X | X |
| Functietabel publiceren naar de online winkel | X | X | X |
| Functies schrijven naar functietabel | X | X | |
| Beschrijving van functietabel bijwerken | X | X | |
| Machtigingen wijzigen | X | ||
| Functietabel verwijderen | X |
Bestands-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Bestand lezen | x | x | x | x | |
| Opmerking | x | x | x | x | |
| Bestand bijvoegen en loskoppelen | x | x | x | ||
| Bestand interactief uitvoeren | x | x | x | ||
| Bestand bewerken | x | x | |||
| Machtigingen wijzigen | x |
Map-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN BEWERKEN | KAN WORDEN UITGEVOERD | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Objecten in map weergeven | x | x | x | x | x |
| Objecten in map weergeven | x | x | x | x | |
| Items klonen en exporteren | x | x | x | ||
| Objecten uitvoeren in de map | x | x | |||
| Items maken, importeren en verwijderen | x | ||||
| Items verplaatsen en de naam ervan wijzigen | x | ||||
| Machtigingen wijzigen | x |
Genie-ruimte-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN/UITVOEREN | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Zie in De ruimtelijst van Genie | x | x | x | x |
| Vragen stellen over Genie | x | x | x | |
| Feedback geven | x | x | x | |
| Genie-instructies toevoegen of bewerken | x | x | ||
| Voorbeeldvragen toevoegen of bewerken | x | x | ||
| Opgenomen tabellen toevoegen of verwijderen | x | x | ||
| Een ruimte bewaken | x | |||
| Machtigingen wijzigen | x | |||
| Ruimte verwijderen | x | |||
| Gesprekken van andere gebruikers weergeven | x |
Git-map-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Assets in een map weergeven | x | x | x | x | x |
| Assets in een map weergeven | x | x | x | x | |
| Assets klonen en exporteren | x | x | x | x | |
| Uitvoerbare assets uitvoeren in map | x | x | x | ||
| Assets in een map bewerken en de naam ervan wijzigen | x | x | |||
| Een vertakking maken in een map | x | ||||
| Een vertakking naar een map ophalen of pushen | x | ||||
| Assets maken, importeren, verwijderen en verplaatsen | x | ||||
| Machtigingen wijzigen | x |
Taak-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN UITVOERING BEHEREN | IS EIGENAAR | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Taakdetails en -instellingen weergeven | x | x | x | x | |
| Resultaten weergeven | x | x | x | x | |
| Spark-gebruikersinterface, logboeken van een taakuitvoering weergeven | x | x | x | ||
| Nu uitvoeren | x | x | x | ||
| Uitvoering annuleren | x | x | x | ||
| Taakinstellingen bewerken | x | x | |||
| Taak verwijderen | x | x | |||
| Machtigingen wijzigen | x | x |
MLflow-experiment-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Uitvoeringen voor het vergelijken van uitvoeringsgegevens weergeven | x | x | x | |
| Uitvoeringartefacten weergeven, weergeven, weergeven en downloaden | x | x | x | |
| Uitvoeringen maken, verwijderen en herstellen | x | x | ||
| Parameters, metrische gegevens, tags voor logboekuitvoering | x | x | ||
| Artefacten voor logboekuitvoering | x | x | ||
| Experimenttags bewerken | x | x | ||
| Uitvoeringen en experimenten opschonen | x | |||
| Machtigingen wijzigen | x |
MLflow-model-ACL's
In deze tabel wordt beschreven hoe u de toegang tot geregistreerde modellen beheert in werkruimten die niet zijn ingeschakeld voor Unity Catalog. Als uw werkruimte is ingeschakeld voor Unity Catalog, gebruikt u in plaats daarvan Unity Catalog-bevoegdheden .
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN BEWERKEN | KAN FASERINGSVERSIES BEHEREN | KAN PRODUCTIEVERSIES BEHEREN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|---|
| Modeldetails, versies, faseovergangsaanvragen, activiteiten en download-URI's voor artefacten weergeven | x | x | x | x | x | |
| De overgang van een modelversiefase aanvragen | x | x | x | x | x | |
| Een versie toevoegen aan een model | x | x | x | x | ||
| Beschrijving van model en versie bijwerken | x | x | x | x | ||
| Tags toevoegen of bewerken | x | x | x | x | ||
| Overgangsmodelversie tussen fasen | x | x | x | |||
| Een overgangsaanvraag goedkeuren | x | x | x | |||
| Een overgangsaanvraag annuleren | x | |||||
| Naam van model wijzigen | x | |||||
| Machtigingen wijzigen | x | |||||
| Model- en modelversies verwijderen | x |
Notebook-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Cellen weergeven | x | x | x | x | |
| Opmerking | x | x | x | x | |
| Uitvoeren via %run- of notebookwerkstromen | x | x | x | x | |
| Notitieblokken koppelen en loskoppelen | x | x | x | ||
| Opdrachten uitvoeren | x | x | x | ||
| Cellen bewerken | x | x | |||
| Machtigingen wijzigen | x |
Pool-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEKOPPELD AAN | KAN WORDEN BEHEERD |
|---|---|---|---|
| Cluster koppelen aan pool | x | x | |
| Pool verwijderen | x | ||
| Groep bewerken | x | ||
| Machtigingen wijzigen | x |
Query-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN WORDEN UITGEVOERD | KAN BEWERKEN | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Eigen query's weergeven | x | x | x | x | |
| Zie in de querylijst | x | x | x | x | |
| Querytekst weergeven | x | x | x | x | |
| Queryresultaat weergeven | x | x | x | x | |
| Queryresultaat vernieuwen (of verschillende parameters kiezen) | x | x | x | ||
| De query opnemen in een dashboard | x | x | x | ||
| Querytekst bewerken | x | x | |||
| SQL Warehouse of gegevensbron wijzigen | x | ||||
| Machtigingen wijzigen | x | ||||
| Query verwijderen | x |
Geheime ACL's
| Vermogen | LEZEN | SCHRIJVEN | BEHEREN |
|---|---|---|---|
| Het geheime bereik lezen | x | x | x |
| Geheimen in het bereik weergeven | x | x | x |
| Schrijven naar het geheime bereik | x | x | |
| Machtigingen wijzigen | x |
Eindpunt-ACL's leveren
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN QUERY'S UITVOEREN | KAN WORDEN BEHEERD |
|---|---|---|---|---|
| Eindpunt ophalen | x | x | x | |
| Eindpunt weergeven | x | x | x | |
| Query-eindpunt | x | x | ||
| Eindpuntconfiguratie bijwerken | x | |||
| Eindpunt verwijderen | x | |||
| Machtigingen wijzigen | x |
SQL Warehouse-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEBRUIKT | KAN BEWAKEN | IS EIGENAAR | KAN WORDEN BEHEERD |
|---|---|---|---|---|---|
| Het magazijn starten | x | x | x | x | |
| Magazijndetails weergeven | x | x | x | x | |
| Magazijnquery's weergeven | x | x | x | ||
| Tabblad Bewaking van magazijn weergeven | x | x | x | ||
| Het magazijn stoppen | x | x | |||
| Het magazijn verwijderen | x | x | |||
| Het magazijn bewerken | x | x | |||
| Machtigingen wijzigen | x | x |