Compartilhar via


Listas de controle de acesso

Este artigo descreve detalhes sobre as permissões disponíveis para os diferentes objetos de workspace.

Observação

O controle de acesso requer o plano Premium.

As configurações de controle de acesso são desabilitadas por padrão nos espaços de trabalho que são atualizados do plano Standard para o plano Premium. Depois que uma configuração de controle de acesso estiver habilitada, ela não poderá ser desabilitada. Para obter mais informações, confira Listas de controles de acesso podem ser habilitadas em espaços de trabalho atualizados.

Visão geral das listas de controle de acesso

No Azure Databricks, você pode usar ACLs (listas de controle de acesso) para configurar a permissão para acessar objetos no nível do workspace. Os administradores do workspace têm a permissão CAN MANAGE em todos os objetos em seu workspace, o que lhes dá a capacidade de gerenciar permissões em todos os objetos em seus workspaces. Os usuários obtêm automaticamente a permissão CAN MANAGE para os objetos que criam.

Para obter um exemplo de como mapear personas típicas para permissões no nível do workspace, consulte a Proposta de introdução aos grupos e permissões do Databricks.

Gerenciar listas de controle de acesso com pastas

Você pode gerenciar as permissões de objeto de workspace adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tem a permissão CAN RUN em uma pasta tem permissão CAN RUN nos alertas dessa pasta.

Se você conceder a um usuário acesso a um objeto dentro da pasta, ele poderá exibir o nome da pasta pai, mesmo que não tenha permissões na pasta pai. Por exemplo, um bloco de anotações chamado test1.py está em uma pasta chamada Workflows. Se você conceder a um usuário CAN READ no test1.py e nenhuma permissão no Workflows, o usuário poderá ver que a pasta pai é nomeada Workflows. O usuário não pode exibir ou acessar nenhum outro objeto na pasta Workflows, a menos que tenha recebido permissões sobre eles.

Para saber mais sobre como organizar objetos em pastas, consulte Navegador do workspace.

ACLs do painel de controle de AI/BI

Capacidade SEM PERMISSÕES PODE EXIBIR/PODE EXECUTAR PODE EDITAR PODE GERENCIAR
Exibir painéis e resultados x x x
Interagir com widgets x x x
Atualizar o painel x x x
Editar dashboard x x
Clonar o painel x x x
Publicar o instantâneo do painel x x
Modificar permissões x
Excluir painel x

Alertas das ACLs

Capacidade NO PERMISSIONS PODE EXECUTAR PODE GERENCIAR
Ver na lista de alertas x x
Exibir alerta e resultado x x
Disparar a execução de alerta manualmente x x
Assinar as notificações x x
Editar alerta x
Modificar permissões x
Excluir alerta x

ACLs de computação

Importante

Os usuários com permissões PODE ANEXAR A podem exibir as chaves da conta de serviço no arquivo log4j. Conceda esse nível de permissão com cautela.

Capacidade SEM PERMISSÕES PODE ANEXAR PODE REINICIAR PODE GERENCIAR
Anexar notebook à computação x x x
Exibir interface do usuário do Spark x x x
Exibir métricas de computação x x x
Encerrar a computação x x
Iniciar e reiniciar a computação x x
Exibir logs de driver x (consulte a observação)
Editar computação x
Anexar biblioteca à computação x
Redimensionar a computação x
Modificar permissões x

Observação

Os segredos não são ocultados nos logs do driver do Spark de um cluster nos fluxos stdout e stderr. Para proteger dados confidenciais, por padrão, os logs do driver Spark só podem ser visualizados por usuários com a permissão PODE GERENCIAR em clusters de trabalho, de modo de acesso de usuário único e de modo de acesso compartilhado. Para permitir que usuários com a permissão PODE ANEXAR A ou PODE REINICIAR visualizem os logs nesses clusters, defina a seguinte propriedade de configuração do Spark na configuração do cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.

Em clusters do modo de acesso compartilhado sem isolamento, os logs do driver Spark podem ser visualizados por usuários com a permissão PODE ANEXAR A ou PODE GERENCIAR. Para limitar quem pode ler os logs apenas aos usuários com a permissão PODE GERENCIAR, defina spark.databricks.acl.needAdminPermissionToViewLogs como true.

Consulte a Configuração do Spark para saber como adicionar propriedades do Spark a uma configuração do cluster.

ACLs do painel herdado

Capacidade SEM PERMISSÕES PODE EXIBIR PODE EXECUTAR CAN EDIT PODE GERENCIAR
Confira na lista de painéis x x x x
Exibir painéis e resultados x x x x
Atualizar os resultados da consulta no painel (ou escolher parâmetros diferentes) x x x
Editar dashboard x x
Modificar permissões x
Excluir painel x

Editar um painel de controle herdado requer a configuração de compartilhamento Executar como visualizador. Consulte Atualizar comportamento e contexto de execução.

ACLs do Delta Live Tables

Capacidade SEM PERMISSÕES PODE EXIBIR PODE EXECUTAR PODE GERENCIAR É PROPRIETÁRIO
Exibir detalhes do pipeline e listar pipeline. x x x x
Exibir a interface do usuário do Spark e os logs do driver. x x x x
Iniciar e parar uma atualização de pipeline. x x x
Parar clusters de pipeline diretamente. x x x
Editar configurações do pipeline. x x
Excluir o pipeline. x x
Limpar execuções e experimentos x x
Modificar permissões x x

ACLs de tabelas de recursos

Esta tabela descreve como controlar o acesso a tabelas de recursos em workspaces que não estão habilitados para o Catálogo do Unity. Se o workspace estiver habilitado para o Catálogo do Unity, use Privilégios do Catálogo do Unity.

Observação

Capacidade CAN VIEW METADATA CAN EDIT METADATA CAN MANAGE
Ler tabela de recursos X X X
Pesquisar tabela de recursos X X X
Publicar tabela de recursos no armazenamento online X X X
Gravar recursos na tabela de recursos X X
Atualizar a descrição da tabela de recursos X X
Modificar permissões X
Excluir tabelas de recursos X

ACLs de arquivo

Capacidade SEM PERMISSÕES CAN READ CAN RUN CAN EDIT PODE GERENCIAR
Ler arquivo x x x x
Comentário x x x x
Anexar e desanexar arquivo x x x
Executar o arquivo interativamente x x x
Editar arquivo x x
Modificar permissões x

ACLs de pasta

Capacidade SEM PERMISSÕES PODE LER PODE EDITAR PODE EXECUTAR PODE GERENCIAR
Listar os objetos na pasta x x x x x
Exibir os objetos na pasta x x x x
Clonar e exportar itens x x x
Executar objetos na pasta x x
Criar, importar e excluir itens x
Mover e renomear itens x
Modificar permissões x

ACLs de espaço do Genie

Capacidade SEM PERMISSÕES PODE EXIBIR/PODE EXECUTAR PODE EDITAR CAN MANAGE
Ver na lista de espaços do Genie x x x x
Fazer perguntas ao Genie x x x
Fornecer comentários de resposta x x x
Adicionar ou editar instruções do Genie x x
Adicionar ou editar perguntas de exemplo x x
Adicionar ou remover tabelas incluídas x x
Monitorar um espaço x
Modificar permissões x
Excluir espaço x
Ver as conversas de outros usuários x

ACLs de pasta do Git

Capacidade SEM PERMISSÕES CAN READ CAN RUN CAN EDIT CAN MANAGE
Listar ativos em uma pasta x x x x x
Exibir ativos em uma pasta x x x x
Clonar e exportar ativos x x x x
Executar ativos executáveis em uma pasta x x x
Editar e renomear ativos em uma pasta x x
Criar uma ramificação em uma pasta x
Efetuar pull ou push de um branch em uma pasta x
Criar, importar, excluir e mover ativos x
Modificar permissões x

ACLs de trabalho

Capacidade SEM PERMISSÕES PODE EXIBIR PODE GERENCIAR A EXECUÇÃO É PROPRIETÁRIO PODE GERENCIAR
Exibir detalhes e configurações do trabalho x x x x
Exibir os resultados x x x x
Exibir a interface do usuário do Spark, os logs de uma execução de trabalho x x x
Executar agora x x x
Cancelar execução x x x
Configurações do trabalho x x
Excluir o trabalho x x
Modificar permissões x x

ACLs de experimento do MLflow

Capacidade SEM PERMISSÕES PODE LER CAN EDIT CAN MANAGE
Ver informações de execução, pesquisar e comparar execuções x x x
Ver, listar e baixar artefatos de execução x x x
Criar, excluir e restaurar execuções x x
Registrar em log parâmetros de execução, métricas e marcas x x
Registrar em log artefatos de execução x x
Editar marcas de experimento x x
Limpar execuções e experimentos x
Modificar permissões x

ACLs de modelo do MLflow

Esta tabela descreve como controlar o acesso a modelos registrados em workspaces que não estão habilitados para o Catálogo do Unity. Se o workspace estiver habilitado para o Catálogo do Unity, use Privilégios do Catálogo do Unity.

Capacidade SEM PERMISSÕES PODE LER PODE EDITAR PODE GERENCIAR VERSÕES DE PREPARO PODE GERENCIAR VERSÕES DE PRODUÇÃO PODE GERENCIAR
Ver detalhes do modelo, versões, solicitações de transição de fase, atividades e URIs de download do artefato x x x x x
Solicitar uma transição de fase da versão do modelo x x x x x
Adicionar uma versão a um modelo x x x x
Atualizar o modelo e a descrição da versão x x x x
Adicionar ou editar marcas x x x x
Fazer a transição da versão do modelo entre fases x x x
Aprovar uma solicitação de transição x x x
Cancelar uma solicitação de transição x
Renomear modelo x
Modificar permissões x
Excluir modelo e versões de modelo x

ACLs de notebook

Capacidade SEM PERMISSÕES CAN READ CAN RUN CAN EDIT CAN MANAGE
Exibir células x x x x
Comentário x x x x
Executar por meio de fluxos de trabalho de execução ou de notebook x x x x
Anexar e desanexar notebooks x x x
Comandos de execução x x x
Editar células x x
Modificar permissões x

ACLs de pool

Capacidade SEM PERMISSÕES PODE ANEXAR PODE GERENCIAR
Anexar o cluster ao pool x x
Excluir pool x
Editar o pool x
Modificar permissões x

ACLs de consulta

Capacidade SEM PERMISSÕES PODE EXIBIR PODE EXECUTAR CAN EDIT PODE GERENCIAR
Exibir consultas próprias x x x x
Ver na lista de consultas x x x x
Exibir texto da consulta x x x x
Exibir resultados da consulta x x x x
Atualizar o resultado da consulta (ou escolher parâmetros diferentes) x x x
Incluir a consulta em um painel x x x
Editar texto da consulta x x
Alterar SQL warehouse ou fonte de dados x
Modificar permissões x
consulta Delete x

ACLs secretas

Capacidade READ WRITE GERENCIAR
Ler o escopo do segredo x x x
Listar segredos no escopo x x x
Gravar no escopo do segredo x x
Modificar permissões x

ACLs de ponto de extremidade de serviço

Capacidade SEM PERMISSÕES PODE EXIBIR PODE CONSULTAR PODE GERENCIAR
Obter ponto de extremidade x x x
Ponto de extremidade de lista x x x
Ponto de extremidade de consulta x x
Atualizar a configuração do ponto de extremidade x
Excluir o ponto de extremidade x
Modificar permissões x

ACLs do SQL Warehouse

Capacidade NO PERMISSIONS PODE USAR CAN MONITOR É PROPRIETÁRIO PODE GERENCIAR
Iniciar o warehouse x x x x
Exibir detalhes do warehouse x x x x
Exobor consultas de warehouse x x x
Exibir guia de monitoramento do warehouse x x x
Parar o warehouse x x
Excluir o warehouse x x
Editar o warehouse x x
Modificar permissões x x