Listy kontroli dostępu
W tym artykule opisano szczegółowe informacje o uprawnieniach dostępnych dla różnych obiektów obszaru roboczego.
Uwaga
Kontrola dostępu wymaga planu Premium.
Ustawienia kontroli dostępu są domyślnie wyłączone w obszarach roboczych uaktualnionych z planu standardowego do planu Premium. Po włączeniu ustawienia kontroli dostępu nie można go wyłączyć. Aby uzyskać więcej informacji, zobacz Listy kontroli dostępu można włączyć w uaktualnionych obszarach roboczych.
Omówienie list kontroli dostępu
W usłudze Azure Databricks możesz użyć list kontroli dostępu (ACL), aby skonfigurować uprawnienia dostępu do obiektów na poziomie obszaru roboczego. Administratorzy obszaru roboczego mają uprawnienie CAN MANAGE dla wszystkich obiektów w obszarze roboczym, co daje im możliwość zarządzania uprawnieniami do wszystkich obiektów w swoich obszarach roboczych. Użytkownicy mają automatycznie uprawnienie CAN MANAGE dla tworzonych obiektów.
Aby zapoznać się z przykładem mapowania typowych osób na uprawnienia na poziomie obszaru roboczego, zobacz Propozycje dotyczące rozpoczynania pracy z grupami i uprawnieniami usługi Databricks.
Zarządzanie listami kontroli dostępu za pomocą folderów
Uprawnienia obiektu obszaru roboczego można zarządzać, dodając obiekty do folderów. Obiekty w folderze dziedziczą wszystkie ustawienia uprawnień tego folderu. Na przykład użytkownik, który ma uprawnienie CAN RUN w folderze, ma uprawnienie CAN RUN dla alertów w tym folderze.
Jeśli przyznasz użytkownikowi dostęp do obiektu wewnątrz folderu, może wyświetlić nazwę folderu nadrzędnego, nawet jeśli nie mają uprawnień do folderu nadrzędnego. Na przykład notes o nazwie test1.py znajduje się w folderze o nazwie Workflows. Jeśli przyznasz użytkownikowi uprawnienia CAN READ on test1.py i nie masz uprawnień w Workflowsusłudze , użytkownik będzie mógł zobaczyć, że folder nadrzędny ma nazwę Workflows. Użytkownik nie może wyświetlić ani uzyskać dostępu do żadnych innych obiektów w Workflows folderze, chyba że udzielono im uprawnień.
Aby dowiedzieć się więcej o organizowaniu obiektów w folderach, zobacz Przeglądarka obszarów roboczych.
Listy AI/BI pulpitu nawigacyjnego
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ/MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|
| Wyświetlanie pulpitu nawigacyjnego i wyników | x | x | x | |
| Interakcja z widżetami | x | x | x | |
| Odświeżanie pulpitu nawigacyjnego | x | x | x | |
| Edytowanie pulpitu nawigacyjnego | x | x | ||
| Klonowanie pulpitu nawigacyjnego | x | x | x | |
| Publikowanie migawki pulpitu nawigacyjnego | x | x | ||
| Modyfikuj uprawnienia | x | |||
| Usuwanie pulpitu nawigacyjnego | x |
Listy ACL alertów
| Zdolność | BRAK UPRAWNIEŃ | MOŻNA URUCHOMIĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|
| Zobacz na liście alertów | x | x | |
| Wyświetlanie alertu i wyniku | x | x | |
| Ręczne wyzwalanie uruchomienia alertu | x | x | |
| Subskrybuj powiadomienia | x | x | |
| Edytuj alert | x | ||
| Modyfikuj uprawnienia | x | ||
| Usuwanie alertu | x |
Listy ACL zasobów obliczeniowych
Ważne
Użytkownicy z uprawnieniami CAN ATTACH TO mogą wyświetlać klucze konta usługi w pliku log4j. Podczas udzielania tego poziomu uprawnień należy zachować ostrożność.
| Zdolność | BRAK UPRAWNIEŃ | MOŻE DOŁĄCZAĆ DO | MOŻE PONOWNIE URUCHOMIĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|
| Dołączanie notesu do obliczeń | x | x | x | |
| Wyświetl interfejs użytkownika platformy Spark | x | x | x | |
| Wyświetlanie metryk obliczeniowych | x | x | x | |
| Kończenie obliczeń | x | x | ||
| Uruchamianie i ponowne uruchamianie obliczeń | x | x | ||
| Wyświetlanie dzienników sterowników | x (patrz uwaga) | |||
| Edytowanie obliczeń | x | |||
| Dołączanie biblioteki do obliczeń | x | |||
| Zmienianie rozmiaru zasobów obliczeniowych | x | |||
| Modyfikuj uprawnienia | x |
Uwaga
Wpisy tajne nie są redagowane z dziennika stdout i stderr strumieni sterowników spark klastra. Aby chronić dane poufne, domyślnie dzienniki sterowników platformy Spark są widoczne tylko przez użytkowników z uprawnieniami CAN MANAGE w zadaniu, trybie dostępu pojedynczego użytkownika i klastrach trybu dostępu współdzielonego. Aby zezwolić użytkownikom z uprawnieniem CAN ATTACH TO lub CAN RESTART, aby wyświetlić dzienniki w tych klastrach, ustaw następującą właściwość konfiguracji platformy Spark w konfiguracji klastra: spark.databricks.acl.needAdminPermissionToViewLogs false.
W przypadku klastrów z trybem dostępu wspólnego bez izolacji dzienniki sterowników platformy Spark mogą być wyświetlane przez użytkowników z uprawnieniem CAN ATTACH TO lub CAN MANAGE. Aby ograniczyć, kto może odczytywać dzienniki tylko użytkownikom z uprawnieniami CAN MANAGE, ustaw wartość spark.databricks.acl.needAdminPermissionToViewLogs true.
Zobacz Konfiguracja platformy Spark, aby dowiedzieć się, jak dodać właściwości platformy Spark do konfiguracji klastra.
Starsze listy ACL pulpitu nawigacyjnego
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ | MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Zobacz na liście pulpitów nawigacyjnych | x | x | x | x | |
| Wyświetlanie pulpitu nawigacyjnego i wyników | x | x | x | x | |
| Odśwież wyniki zapytania na pulpicie nawigacyjnym (lub wybierz inne parametry) | x | x | x | ||
| Edytowanie pulpitu nawigacyjnego | x | x | |||
| Modyfikuj uprawnienia | x | ||||
| Usuwanie pulpitu nawigacyjnego | x |
Edytowanie starszego pulpitu nawigacyjnego wymaga ustawienia Uruchom jako osoby przeglądającego . Zobacz Odświeżanie zachowania i kontekstu wykonywania.
Listy ACL tabel delta live
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ | MOŻNA URUCHOMIĆ | MOŻE ZARZĄDZAĆ | JEST WŁAŚCICIELEM |
|---|---|---|---|---|---|
| Wyświetlanie szczegółów potoku i potoku listy | x | x | x | x | |
| Wyświetlanie dzienników interfejsu użytkownika platformy Spark i sterowników | x | x | x | x | |
| Uruchamianie i zatrzymywanie aktualizacji potoku | x | x | x | ||
| Zatrzymywanie klastrów potoków bezpośrednio | x | x | x | ||
| Edytowanie ustawień potoku | x | x | |||
| Usuwanie potoku | x | x | |||
| Przeczyszczanie przebiegów i eksperymentów | x | x | |||
| Modyfikuj uprawnienia | x | x |
Listy ACL tabel funkcji
W tej tabeli opisano sposób kontrolowania dostępu do tabel funkcji w obszarach roboczych, które nie są włączone dla wykazu aparatu Unity. Jeśli obszar roboczy jest włączony dla wykazu aparatu Unity, zamiast tego użyj uprawnień wykazu aparatu Unity.
Uwaga
- Kontrola dostępu do magazynu funkcji nie zarządza dostępem do bazowej tabeli delty, która podlega kontroli dostępu do tabel.
- Aby uzyskać więcej informacji na temat uprawnień tabeli funkcji obszaru roboczego, zobacz Kontrola dostępu do tabel funkcji.
| Zdolność | MOŻE WYŚWIETLAĆ METADANE | MOŻE EDYTOWAĆ METADANE | MOŻE ZARZĄDZAĆ |
|---|---|---|---|
| Odczytywanie tabeli funkcji | X | X | X |
| Tabela funkcji wyszukiwania | X | X | X |
| Publikowanie tabeli funkcji w sklepie online | X | X | X |
| Pisanie funkcji w tabeli funkcji | X | X | |
| Aktualizowanie opisu tabeli funkcji | X | X | |
| Modyfikuj uprawnienia | X | ||
| Usuwanie tabeli funkcji | X |
Listy ACL plików
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Odczyt pliku | x | x | x | x | |
| Komentarz | x | x | x | x | |
| Dołączanie i odłączanie pliku | x | x | x | ||
| Interakcyjne uruchamianie pliku | x | x | x | ||
| Edytuj plik | x | x | |||
| Modyfikuj uprawnienia | x |
Listy ACL folderów
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻE EDYTOWAĆ | MOŻNA URUCHOMIĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Wyświetlanie listy obiektów w folderze | x | x | x | x | x |
| Wyświetlanie obiektów w folderze | x | x | x | x | |
| Klonowanie i eksportowanie elementów | x | x | x | ||
| Uruchamianie obiektów w folderze | x | x | |||
| Tworzenie, importowanie i usuwanie elementów | x | ||||
| Przenoszenie i zmienianie nazw elementów | x | ||||
| Modyfikuj uprawnienia | x |
Listy ACL obszaru Genie
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ/MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|
| Zobacz na liście obszaru Genie | x | x | x | x |
| Zadawanie pytań dotyczących genie | x | x | x | |
| Prześlij opinię na temat odpowiedzi | x | x | x | |
| Dodawanie lub edytowanie instrukcji genie | x | x | ||
| Dodawanie lub edytowanie przykładowych pytań | x | x | ||
| Dodawanie lub usuwanie dołączonych tabel | x | x | ||
| Monitorowanie miejsca | x | |||
| Modyfikuj uprawnienia | x | |||
| Usuń spację | x | |||
| Wyświetlanie konwersacji innych użytkowników | x |
Listy ACL folderów Git
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Wyświetlanie listy zasobów w folderze | x | x | x | x | x |
| Wyświetlanie zasobów w folderze | x | x | x | x | |
| Klonowanie i eksportowanie zasobów | x | x | x | x | |
| Uruchamianie zasobów wykonywalnych w folderze | x | x | x | ||
| Edytowanie i zmienianie nazw zasobów w folderze | x | x | |||
| Tworzenie gałęzi w folderze | x | ||||
| Ściąganie lub wypychanie gałęzi do folderu | x | ||||
| Tworzenie, importowanie, usuwanie i przenoszenie zasobów | x | ||||
| Modyfikuj uprawnienia | x |
Listy ACL zadań
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ | MOŻE ZARZĄDZAĆ PRZEBIEGIEM | JEST WŁAŚCICIELEM | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Wyświetlanie szczegółów i ustawień zadania | x | x | x | x | |
| Wyświetlanie wyników | x | x | x | x | |
| Wyświetlanie interfejsu użytkownika platformy Spark, dzienników przebiegu zadania | x | x | x | ||
| Uruchom teraz | x | x | x | ||
| Anuluj przebieg | x | x | x | ||
| Edytowanie ustawień zadania | x | x | |||
| Usuwanie zadania | x | x | |||
| Modyfikuj uprawnienia | x | x |
Listy ACL eksperymentu MLflow
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|
| Wyświetlanie przebiegów porównania wyszukiwania informacji przebiegów | x | x | x | |
| Wyświetlanie, wyświetlanie i pobieranie artefaktów przebiegu | x | x | x | |
| Tworzenie, usuwanie i przywracanie przebiegów | x | x | ||
| Parametry przebiegu dziennika, metryki, tagi | x | x | ||
| Artefakty uruchamiania dziennika | x | x | ||
| Edytowanie tagów eksperymentu | x | x | ||
| Przeczyszczanie przebiegów i eksperymentów | x | |||
| Modyfikuj uprawnienia | x |
Listy ACL modelu MLflow
W tej tabeli opisano sposób kontrolowania dostępu do zarejestrowanych modeli w obszarach roboczych, które nie są włączone dla wykazu aparatu Unity. Jeśli obszar roboczy jest włączony dla wykazu aparatu Unity, zamiast tego użyj uprawnień wykazu aparatu Unity.
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ WERSJAMI PRZEJŚCIOWYMI | MOŻE ZARZĄDZAĆ WERSJAMI PRODUKCYJNYMI | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|---|
| Wyświetlanie szczegółów modelu, wersji, żądań przejścia etapu, działań i identyfikatorów URI pobierania artefaktów | x | x | x | x | x | |
| Żądanie przejścia etapu wersji modelu | x | x | x | x | x | |
| Dodawanie wersji do modelu | x | x | x | x | ||
| Aktualizowanie modelu i opisu wersji | x | x | x | x | ||
| Dodawanie lub edytowanie tagów | x | x | x | x | ||
| Przenoszenie wersji modelu między etapami | x | x | x | |||
| Zatwierdzanie żądania przeniesienia | x | x | x | |||
| Anulowanie żądania przeniesienia | x | |||||
| Zmienianie nazwy modelu | x | |||||
| Modyfikuj uprawnienia | x | |||||
| Usuwanie wersji modelu i modelu | x |
Listy ACL notesu
| Zdolność | BRAK UPRAWNIEŃ | MOŻE ODCZYTYWAĆ | MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Wyświetlanie komórek | x | x | x | x | |
| Komentarz | x | x | x | x | |
| Uruchamianie za pomocą przepływów pracy %run or notebook | x | x | x | x | |
| Dołączanie i odłączanie notesów | x | x | x | ||
| Uruchamianie poleceń | x | x | x | ||
| Edytuj komórki | x | x | |||
| Modyfikuj uprawnienia | x |
Listy ACL puli
| Zdolność | BRAK UPRAWNIEŃ | MOŻE DOŁĄCZAĆ DO | MOŻE ZARZĄDZAĆ |
|---|---|---|---|
| Dołączanie klastra do puli | x | x | |
| Usuwanie puli | x | ||
| Edytowanie puli | x | ||
| Modyfikuj uprawnienia | x |
Listy ACL zapytań
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ | MOŻNA URUCHOMIĆ | MOŻE EDYTOWAĆ | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Wyświetlanie własnych zapytań | x | x | x | x | |
| Zobacz na liście zapytań | x | x | x | x | |
| Wyświetlanie tekstu zapytania | x | x | x | x | |
| Wyświetl wynik zapytania | x | x | x | x | |
| Odśwież wynik zapytania (lub wybierz inne parametry) | x | x | x | ||
| Dołączanie zapytania do pulpitu nawigacyjnego | x | x | x | ||
| Edytowanie tekstu zapytania | x | x | |||
| Zmienianie usługi SQL Warehouse lub źródła danych | x | ||||
| Modyfikuj uprawnienia | x | ||||
| Usuń zapytanie | x |
Tajne listy ACL
| Zdolność | CZYTAJ | PISAĆ | ZARZĄDZAJ |
|---|---|---|---|
| Odczytywanie zakresu wpisów tajnych | x | x | x |
| Wyświetlanie listy wpisów tajnych w zakresie | x | x | x |
| Zapisywanie w zakresie wpisu tajnego | x | x | |
| Modyfikuj uprawnienia | x |
Obsługa list ACL punktów końcowych
| Zdolność | BRAK UPRAWNIEŃ | MOŻE WYŚWIETLAĆ | ZAPYTANIE CAN | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|
| Uzyskiwanie punktu końcowego | x | x | x | |
| Wyświetlanie listy punktów końcowych | x | x | x | |
| Punkt końcowy zapytania | x | x | ||
| Aktualizowanie konfiguracji punktu końcowego | x | |||
| Usuwanie punktu końcowego | x | |||
| Modyfikuj uprawnienia | x |
Listy ACL usługi SQL Warehouse
| Zdolność | BRAK UPRAWNIEŃ | MOŻE UŻYWAĆ | MOŻE MONITOROWAĆ | JEST WŁAŚCICIELEM | MOŻE ZARZĄDZAĆ |
|---|---|---|---|---|---|
| Uruchamianie magazynu | x | x | x | x | |
| Wyświetlanie szczegółów magazynu | x | x | x | x | |
| Wyświetlanie zapytań magazynu | x | x | x | ||
| Wyświetlanie karty monitorowania magazynu | x | x | x | ||
| Zatrzymywanie magazynu | x | x | |||
| Usuwanie magazynu | x | x | |||
| Edytowanie magazynu | x | x | |||
| Modyfikuj uprawnienia | x | x |