Listas de controle de acesso
Este artigo descreve detalhes sobre as permissões disponíveis para os diferentes objetos de workspace.
Observação
O controle de acesso requer o plano Premium.
As configurações de controle de acesso são desabilitadas por padrão nos espaços de trabalho que são atualizados do plano Standard para o plano Premium. Depois que uma configuração de controle de acesso estiver habilitada, ela não poderá ser desabilitada. Para obter mais informações, confira Listas de controles de acesso podem ser habilitadas em espaços de trabalho atualizados.
Visão geral das listas de controle de acesso
No Azure Databricks, você pode usar ACLs (listas de controle de acesso) para configurar a permissão para acessar objetos no nível do workspace. Os administradores do workspace têm a permissão CAN MANAGE em todos os objetos em seu workspace, o que lhes dá a capacidade de gerenciar permissões em todos os objetos em seus workspaces. Os usuários obtêm automaticamente a permissão CAN MANAGE para os objetos que criam.
Para obter um exemplo de como mapear personas típicas para permissões no nível do workspace, consulte a Proposta de introdução aos grupos e permissões do Databricks.
Gerenciar listas de controle de acesso com pastas
Você pode gerenciar as permissões de objeto de workspace adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tem a permissão CAN RUN em uma pasta tem permissão CAN RUN nos alertas dessa pasta.
Se você conceder a um usuário acesso a um objeto dentro da pasta, ele poderá exibir o nome da pasta pai, mesmo que não tenha permissões na pasta pai. Por exemplo, um bloco de anotações chamado test1.py está em uma pasta chamada Workflows. Se você conceder a um usuário CAN READ no test1.py e nenhuma permissão no Workflows, o usuário poderá ver que a pasta pai é nomeada Workflows. O usuário não pode exibir ou acessar nenhum outro objeto na pasta Workflows, a menos que tenha recebido permissões sobre eles.
Para saber mais sobre como organizar objetos em pastas, consulte Navegador do workspace.
ACLs do painel de controle de AI/BI
| Capacidade | SEM PERMISSÕES | PODE EXIBIR/PODE EXECUTAR | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|
| Exibir painéis e resultados | x | x | x | |
| Interagir com widgets | x | x | x | |
| Atualizar o painel | x | x | x | |
| Editar dashboard | x | x | ||
| Clonar o painel | x | x | x | |
| Publicar o instantâneo do painel | x | x | ||
| Modificar permissões | x | |||
| Excluir painel | x |
Alertas das ACLs
| Capacidade | NO PERMISSIONS | PODE EXECUTAR | PODE GERENCIAR |
|---|---|---|---|
| Ver na lista de alertas | x | x | |
| Exibir alerta e resultado | x | x | |
| Disparar a execução de alerta manualmente | x | x | |
| Assinar as notificações | x | x | |
| Editar alerta | x | ||
| Modificar permissões | x | ||
| Excluir alerta | x |
ACLs de computação
Importante
Os usuários com permissões PODE ANEXAR A podem exibir as chaves da conta de serviço no arquivo log4j. Conceda esse nível de permissão com cautela.
| Capacidade | SEM PERMISSÕES | PODE ANEXAR | PODE REINICIAR | PODE GERENCIAR |
|---|---|---|---|---|
| Anexar notebook à computação | x | x | x | |
| Exibir interface do usuário do Spark | x | x | x | |
| Exibir métricas de computação | x | x | x | |
| Encerrar a computação | x | x | ||
| Iniciar e reiniciar a computação | x | x | ||
| Exibir logs de driver | x (consulte a observação) | |||
| Editar computação | x | |||
| Anexar biblioteca à computação | x | |||
| Redimensionar a computação | x | |||
| Modificar permissões | x |
Observação
Os segredos não são ocultados nos logs do driver do Spark de um cluster nos fluxos stdout e stderr. Para proteger dados confidenciais, por padrão, os logs do driver Spark só podem ser visualizados por usuários com a permissão PODE GERENCIAR em clusters de trabalho, de modo de acesso de usuário único e de modo de acesso compartilhado. Para permitir que usuários com a permissão PODE ANEXAR A ou PODE REINICIAR visualizem os logs nesses clusters, defina a seguinte propriedade de configuração do Spark na configuração do cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
Em clusters do modo de acesso compartilhado sem isolamento, os logs do driver Spark podem ser visualizados por usuários com a permissão PODE ANEXAR A ou PODE GERENCIAR. Para limitar quem pode ler os logs apenas aos usuários com a permissão PODE GERENCIAR, defina spark.databricks.acl.needAdminPermissionToViewLogs como true.
Consulte a Configuração do Spark para saber como adicionar propriedades do Spark a uma configuração do cluster.
ACLs do painel herdado
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE EXECUTAR | CAN EDIT | PODE GERENCIAR |
|---|---|---|---|---|---|
| Confira na lista de painéis | x | x | x | x | |
| Exibir painéis e resultados | x | x | x | x | |
| Atualizar os resultados da consulta no painel (ou escolher parâmetros diferentes) | x | x | x | ||
| Editar dashboard | x | x | |||
| Modificar permissões | x | ||||
| Excluir painel | x |
Editar um painel de controle herdado requer a configuração de compartilhamento Executar como visualizador. Consulte Atualizar comportamento e contexto de execução.
ACLs do Delta Live Tables
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE EXECUTAR | PODE GERENCIAR | É PROPRIETÁRIO |
|---|---|---|---|---|---|
| Exibir detalhes do pipeline e listar pipeline. | x | x | x | x | |
| Exibir a interface do usuário do Spark e os logs do driver. | x | x | x | x | |
| Iniciar e parar uma atualização de pipeline. | x | x | x | ||
| Parar clusters de pipeline diretamente. | x | x | x | ||
| Editar configurações do pipeline. | x | x | |||
| Excluir o pipeline. | x | x | |||
| Limpar execuções e experimentos | x | x | |||
| Modificar permissões | x | x |
ACLs de tabelas de recursos
Esta tabela descreve como controlar o acesso a tabelas de recursos em workspaces que não estão habilitados para o Catálogo do Unity. Se o workspace estiver habilitado para o Catálogo do Unity, use Privilégios do Catálogo do Unity.
Observação
- O controle de acesso do Repositório de Recursos não controla o acesso à tabela Delta subjacente, que é governada pelo controle de acesso à tabela.
- Para obter mais informações sobre permissões de tabela de recursos do workspace, confira Controle de acesso a tabelas de recursos.
| Capacidade | CAN VIEW METADATA | CAN EDIT METADATA | CAN MANAGE |
|---|---|---|---|
| Ler tabela de recursos | X | X | X |
| Pesquisar tabela de recursos | X | X | X |
| Publicar tabela de recursos no armazenamento online | X | X | X |
| Gravar recursos na tabela de recursos | X | X | |
| Atualizar a descrição da tabela de recursos | X | X | |
| Modificar permissões | X | ||
| Excluir tabelas de recursos | X |
ACLs de arquivo
| Capacidade | SEM PERMISSÕES | CAN READ | CAN RUN | CAN EDIT | PODE GERENCIAR |
|---|---|---|---|---|---|
| Ler arquivo | x | x | x | x | |
| Comentário | x | x | x | x | |
| Anexar e desanexar arquivo | x | x | x | ||
| Executar o arquivo interativamente | x | x | x | ||
| Editar arquivo | x | x | |||
| Modificar permissões | x |
ACLs de pasta
| Capacidade | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE EXECUTAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Listar os objetos na pasta | x | x | x | x | x |
| Exibir os objetos na pasta | x | x | x | x | |
| Clonar e exportar itens | x | x | x | ||
| Executar objetos na pasta | x | x | |||
| Criar, importar e excluir itens | x | ||||
| Mover e renomear itens | x | ||||
| Modificar permissões | x |
ACLs de espaço do Genie
| Capacidade | SEM PERMISSÕES | PODE EXIBIR/PODE EXECUTAR | PODE EDITAR | CAN MANAGE |
|---|---|---|---|---|
| Ver na lista de espaços do Genie | x | x | x | x |
| Fazer perguntas ao Genie | x | x | x | |
| Fornecer comentários de resposta | x | x | x | |
| Adicionar ou editar instruções do Genie | x | x | ||
| Adicionar ou editar perguntas de exemplo | x | x | ||
| Adicionar ou remover tabelas incluídas | x | x | ||
| Monitorar um espaço | x | |||
| Modificar permissões | x | |||
| Excluir espaço | x | |||
| Ver as conversas de outros usuários | x |
ACLs de pasta do Git
| Capacidade | SEM PERMISSÕES | CAN READ | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
| Listar ativos em uma pasta | x | x | x | x | x |
| Exibir ativos em uma pasta | x | x | x | x | |
| Clonar e exportar ativos | x | x | x | x | |
| Executar ativos executáveis em uma pasta | x | x | x | ||
| Editar e renomear ativos em uma pasta | x | x | |||
| Criar uma ramificação em uma pasta | x | ||||
| Efetuar pull ou push de um branch em uma pasta | x | ||||
| Criar, importar, excluir e mover ativos | x | ||||
| Modificar permissões | x |
ACLs de trabalho
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE GERENCIAR A EXECUÇÃO | É PROPRIETÁRIO | PODE GERENCIAR |
|---|---|---|---|---|---|
| Exibir detalhes e configurações do trabalho | x | x | x | x | |
| Exibir os resultados | x | x | x | x | |
| Exibir a interface do usuário do Spark, os logs de uma execução de trabalho | x | x | x | ||
| Executar agora | x | x | x | ||
| Cancelar execução | x | x | x | ||
| Configurações do trabalho | x | x | |||
| Excluir o trabalho | x | x | |||
| Modificar permissões | x | x |
ACLs de experimento do MLflow
| Capacidade | SEM PERMISSÕES | PODE LER | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|
| Ver informações de execução, pesquisar e comparar execuções | x | x | x | |
| Ver, listar e baixar artefatos de execução | x | x | x | |
| Criar, excluir e restaurar execuções | x | x | ||
| Registrar em log parâmetros de execução, métricas e marcas | x | x | ||
| Registrar em log artefatos de execução | x | x | ||
| Editar marcas de experimento | x | x | ||
| Limpar execuções e experimentos | x | |||
| Modificar permissões | x |
ACLs de modelo do MLflow
Esta tabela descreve como controlar o acesso a modelos registrados em workspaces que não estão habilitados para o Catálogo do Unity. Se o workspace estiver habilitado para o Catálogo do Unity, use Privilégios do Catálogo do Unity.
| Capacidade | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE GERENCIAR VERSÕES DE PREPARO | PODE GERENCIAR VERSÕES DE PRODUÇÃO | PODE GERENCIAR |
|---|---|---|---|---|---|---|
| Ver detalhes do modelo, versões, solicitações de transição de fase, atividades e URIs de download do artefato | x | x | x | x | x | |
| Solicitar uma transição de fase da versão do modelo | x | x | x | x | x | |
| Adicionar uma versão a um modelo | x | x | x | x | ||
| Atualizar o modelo e a descrição da versão | x | x | x | x | ||
| Adicionar ou editar marcas | x | x | x | x | ||
| Fazer a transição da versão do modelo entre fases | x | x | x | |||
| Aprovar uma solicitação de transição | x | x | x | |||
| Cancelar uma solicitação de transição | x | |||||
| Renomear modelo | x | |||||
| Modificar permissões | x | |||||
| Excluir modelo e versões de modelo | x |
ACLs de notebook
| Capacidade | SEM PERMISSÕES | CAN READ | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
| Exibir células | x | x | x | x | |
| Comentário | x | x | x | x | |
| Executar por meio de fluxos de trabalho de execução ou de notebook | x | x | x | x | |
| Anexar e desanexar notebooks | x | x | x | ||
| Comandos de execução | x | x | x | ||
| Editar células | x | x | |||
| Modificar permissões | x |
ACLs de pool
| Capacidade | SEM PERMISSÕES | PODE ANEXAR | PODE GERENCIAR |
|---|---|---|---|
| Anexar o cluster ao pool | x | x | |
| Excluir pool | x | ||
| Editar o pool | x | ||
| Modificar permissões | x |
ACLs de consulta
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE EXECUTAR | CAN EDIT | PODE GERENCIAR |
|---|---|---|---|---|---|
| Exibir consultas próprias | x | x | x | x | |
| Ver na lista de consultas | x | x | x | x | |
| Exibir texto da consulta | x | x | x | x | |
| Exibir resultados da consulta | x | x | x | x | |
| Atualizar o resultado da consulta (ou escolher parâmetros diferentes) | x | x | x | ||
| Incluir a consulta em um painel | x | x | x | ||
| Editar texto da consulta | x | x | |||
| Alterar SQL warehouse ou fonte de dados | x | ||||
| Modificar permissões | x | ||||
| consulta Delete | x |
ACLs secretas
| Capacidade | READ | WRITE | GERENCIAR |
|---|---|---|---|
| Ler o escopo do segredo | x | x | x |
| Listar segredos no escopo | x | x | x |
| Gravar no escopo do segredo | x | x | |
| Modificar permissões | x |
ACLs de ponto de extremidade de serviço
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE CONSULTAR | PODE GERENCIAR |
|---|---|---|---|---|
| Obter ponto de extremidade | x | x | x | |
| Ponto de extremidade de lista | x | x | x | |
| Ponto de extremidade de consulta | x | x | ||
| Atualizar a configuração do ponto de extremidade | x | |||
| Excluir o ponto de extremidade | x | |||
| Modificar permissões | x |
ACLs do SQL Warehouse
| Capacidade | NO PERMISSIONS | PODE USAR | CAN MONITOR | É PROPRIETÁRIO | PODE GERENCIAR |
|---|---|---|---|---|---|
| Iniciar o warehouse | x | x | x | x | |
| Exibir detalhes do warehouse | x | x | x | x | |
| Exobor consultas de warehouse | x | x | x | ||
| Exibir guia de monitoramento do warehouse | x | x | x | ||
| Parar o warehouse | x | x | |||
| Excluir o warehouse | x | x | |||
| Editar o warehouse | x | x | |||
| Modificar permissões | x | x |