Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve detalhes sobre as permissões disponíveis para os diferentes objetos de workspace.
Observação
O controle de acesso requer o plano Premium.
As configurações de controle de acesso são desabilitadas por padrão nos espaços de trabalho que são atualizados do plano Standard para o plano Premium. Depois que uma configuração de controle de acesso estiver habilitada, ela não poderá ser desabilitada. Para obter mais informações, confira Listas de controles de acesso podem ser habilitadas em espaços de trabalho atualizados.
Visão geral das listas de controle de acesso
No Azure Databricks, você pode usar ACLs (listas de controle de acesso) para configurar a permissão para acessar objetos no nível do workspace. Os administradores do workspace têm a permissão CAN MANAGE em todos os objetos em seu workspace, o que lhes dá a capacidade de gerenciar permissões em todos os objetos em seus workspaces. Os usuários obtêm automaticamente a permissão CAN MANAGE para os objetos que criam.
Para obter um exemplo de como mapear personas típicas para permissões no nível do workspace, consulte a Proposta de introdução aos grupos e permissões do Databricks.
Gerenciar listas de controle de acesso com pastas
Você pode gerenciar as permissões de objeto de workspace adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tem a permissão CAN RUN em uma pasta tem permissão CAN RUN nos alertas dessa pasta.
Se você conceder a um usuário acesso a um objeto dentro da pasta, ele poderá exibir o nome da pasta pai, mesmo que ele não tenha permissões na pasta pai. Por exemplo, um bloco de anotações chamado test1.py está em uma pasta chamada Workflows. Se você conceder a um usuário a permissão PODE EXIBIR em test1.py e nenhuma permissão em Workflows, o usuário pode ver que a pasta pai chama-se Workflows. O usuário não pode exibir ou acessar nenhum outro objeto na pasta Workflows, a menos que tenha recebido permissões sobre eles.
Para saber mais sobre como organizar objetos em pastas, consulte Navegador do workspace.
ACLs do painel de controle de AI/BI
| Capacidade | SEM PERMISSÕES | PODE EXIBIR/PODE EXECUTAR | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|
| Exibir painéis e resultados | x | x | x | |
| Interagir com widgets | x | x | x | |
| Atualizar o painel | x | x | x | |
| Editar dashboard | x | x | ||
| Clonar o painel | x | x | x | |
| Publicar o instantâneo do painel | x | x | ||
| Modificar permissões | x | |||
| Excluir painel | x |
Alertas das ACLs
| Capacidade | SEM PERMISSÕES | PODE EXECUTAR | PODE GERENCIAR |
|---|---|---|---|
| Ver na lista de alertas | x | x | |
| Exibir alerta e resultado | x | x | |
| Disparar a execução de alerta manualmente | x | x | |
| Assinar as notificações | x | x | |
| Editar alerta | x | ||
| Modificar permissões | x | ||
| Excluir alerta | x |
ACLs de computação
Importante
Os usuários com permissões PODE ANEXAR A podem exibir as chaves da conta de serviço no arquivo log4j. Conceda esse nível de permissão com cautela.
| Capacidade | SEM PERMISSÕES | PODE ANEXAR | PODE REINICIAR | PODE GERENCIAR |
|---|---|---|---|---|
| Anexar notebook à computação | x | x | x | |
| Exibir interface do usuário do Spark | x | x | x | |
| Exibir métricas de computação | x | x | x | |
| Encerrar a computação | x | x | ||
| Iniciar e reiniciar a computação | x | x | ||
| Exibir logs de driver | x (consulte a observação) | |||
| Editar computação | x | |||
| Anexar biblioteca à computação | x | |||
| Redimensionar a computação | x | |||
| Modificar permissões | x |
Observação
Os segredos não são redacionados dos logs de driver Spark e fluxos de um cluster. Para proteger dados confidenciais, por padrão, os logs de driver do Spark só podem ser exibidos por usuários com a permissão "CAN MANAGE" no job, em clusters com modo de acesso dedicado e modo de acesso padrão. Para permitir que usuários com a permissão PODE ANEXAR A ou PODE REINICIAR visualizem os logs nesses clusters, defina a seguinte propriedade de configuração do Spark na configuração do cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
Em clusters do modo de acesso compartilhado sem isolamento, os logs do driver Spark podem ser visualizados por usuários com a permissão PODE ANEXAR A ou PODE GERENCIAR. Para limitar quem pode ler os logs apenas aos usuários com a permissão PODE GERENCIAR, defina spark.databricks.acl.needAdminPermissionToViewLogs como true.
Consulte a Configuração do Spark para saber como adicionar propriedades do Spark a uma configuração do cluster.
ACLs do painel herdado
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE EXECUTAR | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Confira na lista de painéis | x | x | x | x | |
| Exibir painéis e resultados | x | x | x | x | |
| Atualizar os resultados da consulta no painel (ou escolher parâmetros diferentes) | x | x | x | ||
| Editar dashboard | x | x | |||
| Modificar permissões | x | ||||
| Excluir painel | x |
Editar um painel de controle herdado requer a configuração de compartilhamento Executar como visualizador. Consulte Atualizar comportamento e contexto de execução.
ACLs de instância de banco de dados
| Capacidade | SEM PERMISSÕES | PODE USAR | PODE GERENCIAR |
|---|---|---|---|
| Criar tabelas sincronizadas | x | x | |
| Criar catálogos | x | x | |
| Criar tabelas | x | x | |
| Instância de escalabilidade | x | ||
| Excluir instância | x | ||
| Criar catálogo do Unity Catalog | x | ||
| Pausar instância | x | ||
| Retomar instância | x |
ACLs de Pipelines Declarativos do Lakeflow
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE EXECUTAR | PODE GERENCIAR | É PROPRIETÁRIO |
|---|---|---|---|---|---|
| Exibir detalhes do pipeline e listar pipeline. | x | x | x | x | |
| Exibir a interface do usuário do Spark e os logs do driver. | x | x | x | x | |
| Iniciar e parar uma atualização de pipeline. | x | x | x | ||
| Parar clusters de pipeline diretamente. | x | x | x | ||
| Editar configurações do pipeline. | x | x | |||
| Excluir o pipeline. | x | x | |||
| Limpar execuções e experimentos | x | x | |||
| Modificar permissões | x | x |
ACLs de tabelas de recursos
Esta tabela descreve como controlar o acesso a tabelas de recursos em workspaces que não estão habilitados para o Catálogo do Unity. Se o workspace estiver habilitado para o Catálogo do Unity, use Privilégios do Catálogo do Unity.
Observação
- O controle de acesso do Repositório de Recursos não controla o acesso à tabela Delta subjacente, que é governada pelo controle de acesso à tabela.
- Para obter mais informações sobre permissões de tabelas de recursos de workspace, consulte Controle de acesso a tabelas de recursos no Workspace Feature Store (herdado).
| Capacidade | PODE VISUALIZAR METADADOS | PODE EDITAR METADADOS | PODE GERENCIAR |
|---|---|---|---|
| Ler tabela de recursos | X | X | X |
| Pesquisar tabela de recursos | X | X | X |
| Publicar tabela de recursos no armazenamento online | X | X | X |
| Gravar recursos na tabela de recursos | X | X | |
| Atualizar a descrição da tabela de recursos | X | X | |
| Modificar permissões | X | ||
| Excluir tabelas de recursos | X |
ACLs de arquivo
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE EXECUTAR | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Ler arquivo | x | x | x | x | |
| Comentário | x | x | x | x | |
| Anexar e desanexar arquivo | x | x | x | ||
| Executar o arquivo interativamente | x | x | x | ||
| Editar arquivo | x | x | |||
| Modificar permissões | x |
Observação
A interface de usuário do ambiente de trabalho se refere ao acesso somente para visualização como CAN VIEW, enquanto a API de Permissões usa CAN READ para representar o mesmo nível de acesso.
ACLs de pasta
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE EDITAR | PODE EXECUTAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Listar os objetos na pasta | x | x | x | x | x |
| Exibir os objetos na pasta | x | x | x | x | |
| Clonar e exportar itens | x | x | x | ||
| Executar objetos na pasta | x | x | |||
| Criar, importar e excluir itens | x | ||||
| Mover e renomear itens | x | ||||
| Modificar permissões | x |
Observação
A interface de usuário do ambiente de trabalho se refere ao acesso somente para visualização como CAN VIEW, enquanto a API de Permissões usa CAN READ para representar o mesmo nível de acesso.
ACLs de espaço do Genie
| Capacidade | SEM PERMISSÕES | PODE EXIBIR/PODE EXECUTAR | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|
| Ver na lista de espaços do Genie | x | x | x | |
| Fazer perguntas ao Genie | x | x | x | |
| Fornecer comentários de resposta | x | x | x | |
| Adicionar ou editar instruções do Genie | x | x | ||
| Adicionar ou editar perguntas de exemplo | x | x | ||
| Adicionar ou remover tabelas incluídas | x | x | ||
| Monitorar um espaço | x | |||
| Modificar permissões | x | |||
| Excluir espaço | x | |||
| Exibir conversas de outros usuários | x | x |
ACLs de pasta do Git
| Capacidade | SEM PERMISSÕES | PODE LER | PODE EXECUTAR | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Listar ativos em uma pasta | x | x | x | x | x |
| Exibir ativos em uma pasta | x | x | x | x | |
| Clonar e exportar ativos | x | x | x | x | |
| Executar ativos executáveis em uma pasta | x | x | x | ||
| Editar e renomear ativos em uma pasta | x | x | |||
| Criar uma ramificação em uma pasta | x | ||||
| Alternar ramificações em uma pasta | x | ||||
| Efetuar pull ou push de um branch em uma pasta | x | ||||
| Criar, importar, excluir e mover ativos | x | ||||
| Modificar permissões | x |
ACLs de trabalho
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE GERENCIAR A EXECUÇÃO | É PROPRIETÁRIO | PODE GERENCIAR |
|---|---|---|---|---|---|
| Exibir detalhes e configurações do trabalho | x | x | x | x | |
| Exibir os resultados | x | x | x | x | |
| Exibir a interface do usuário do Spark, os logs de uma execução de trabalho | x | x | x | ||
| Executar agora | x | x | x | ||
| Cancelar execução | x | x | x | ||
| Configurações do trabalho | x | x | |||
| Excluir o trabalho | x | x | |||
| Modificar permissões | x | x |
Observação
O criador de um trabalho tem a permissão IS OWNER por padrão.
Um trabalho não pode ter mais de um proprietário.
Não é possível atribuir a um grupo a permissão Is Owner como proprietário.
Os trabalhos disparados por meio do Run Now pressupõem as permissões do proprietário do trabalho e não do usuário que emitiu Executar Agora.
O controle de acesso de trabalhos se aplica a trabalhos exibidos na interface do usuário do Lakeflow Jobs e suas execuções. Ele não se aplica a:
Fluxos de trabalho do notebook que executam código modular ou vinculado. Elas usam as permissões do próprio bloco de anotações. Se o notebook for proveniente do Git, uma nova cópia será criada e seus arquivos herdarão as permissões do usuário que disparou a execução.
Trabalhos enviados pela API. Elas usam as permissões padrão do notebook, a menos que você defina explicitamente a
access_control_listsolicitação de API.
ACLs de experimento do MLflow
As ACLs de experimento do MLflow são diferentes para experimentos de notebook e experimentos de workspace. Os experimentos de notebook não podem ser gerenciados independentemente do notebook que os criou, portanto, as permissões são semelhantes às permissões do notebook.
Para saber mais sobre os dois tipos de experimentos, consulte Organizar execuções de treinamento com experimentos do MLflow.
:::
ACLs para experimentos de notebook
Alterar essas permissões também modifica as permissões no notebook que correspondem ao experimento.
| Capacidade | SEM PERMISSÕES | PODE LER | PODE EXECUTAR | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Exibir notebook | x | x | x | x | |
| Comentar no notebook | x | x | x | x | |
| Conectar/desconectar o notebook ao computador | x | x | x | ||
| Executar comandos no notebook | x | x | x | ||
| Editar notebook | x | x | |||
| Modificar permissões | x |
ACLs para experimentos de workspace
| Capacidade | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|
| Exibir experimento | x | x | x | |
| Registrar em log execuções do experimento | x | x | ||
| Editar o experimento | x | x | ||
| Excluir o experimento | x | |||
| Modificar permissões | x |
ACLs de modelo do MLflow
Esta tabela descreve como controlar o acesso a modelos registrados em workspaces que não estão habilitados para o Catálogo do Unity. Se o workspace estiver habilitado para o Catálogo do Unity, use Privilégios do Catálogo do Unity.
| Capacidade | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE GERENCIAR VERSÕES DE PREPARO | PODE GERENCIAR VERSÕES DE PRODUÇÃO | PODE GERENCIAR |
|---|---|---|---|---|---|---|
| Ver detalhes do modelo, versões, solicitações de transição de fase, atividades e URIs de download do artefato | x | x | x | x | x | |
| Solicitar uma transição de fase da versão do modelo | x | x | x | x | x | |
| Adicionar uma versão a um modelo | x | x | x | x | ||
| Atualizar o modelo e a descrição da versão | x | x | x | x | ||
| Adicionar ou editar marcas | x | x | x | x | ||
| Fazer a transição da versão do modelo entre fases | x | x | x | |||
| Aprovar uma solicitação de transição | x | x | x | |||
| Cancelar uma solicitação de transição | x | |||||
| Renomear modelo | x | |||||
| Modificar permissões | x | |||||
| Excluir modelo e versões de modelo | x |
ACLs de notebook
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE EXECUTAR | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Exibir células | x | x | x | x | |
| Comentário | x | x | x | x | |
| Execute usando %run ou fluxos de trabalho em notebook | x | x | x | x | |
| Anexar e desanexar notebooks | x | x | x | ||
| Comandos de execução | x | x | x | ||
| Editar células | x | x | |||
| Modificar permissões | x |
Observação
A interface de usuário do ambiente de trabalho se refere ao acesso somente para visualização como CAN VIEW, enquanto a API de Permissões usa CAN READ para representar o mesmo nível de acesso.
ACLs de pool
| Capacidade | SEM PERMISSÕES | PODE ANEXAR | PODE GERENCIAR |
|---|---|---|---|
| Anexar o cluster ao pool | x | x | |
| Excluir pool | x | ||
| Editar o pool | x | ||
| Modificar permissões | x |
ACLs de consulta
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE EXECUTAR | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Exibir consultas próprias | x | x | x | x | |
| Ver na lista de consultas | x | x | x | x | |
| Exibir texto da consulta | x | x | x | x | |
| Exibir resultados da consulta | x | x | x | x | |
| Atualizar o resultado da consulta (ou escolher parâmetros diferentes) | x | x | x | ||
| Incluir a consulta em um painel | x | x | x | ||
| Editar texto da consulta | x | x | |||
| Alterar SQL warehouse ou fonte de dados | x | ||||
| Modificar permissões | x | ||||
| consulta Delete | x |
ACLs secretas
| Capacidade | LER | ESCREVER | GERENCIAR |
|---|---|---|---|
| Ler o escopo do segredo | x | x | x |
| Listar segredos no escopo | x | x | x |
| Gravar no escopo do segredo | x | x | |
| Modificar permissões | x |
ACLs de ponto de extremidade de serviço
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE CONSULTAR | PODE GERENCIAR |
|---|---|---|---|---|
| Obter ponto de extremidade | x | x | x | |
| Ponto de extremidade de lista | x | x | x | |
| Ponto de extremidade de consulta | x | x | ||
| Atualizar a configuração do ponto de extremidade | x | |||
| Excluir o ponto de extremidade | x | |||
| Modificar permissões | x |
ACLs do SQL Warehouse
| Capacidade | SEM PERMISSÕES | PODE EXIBIR | PODE MONITORAR | PODE USAR | É PROPRIETÁRIO | PODE GERENCIAR |
|---|---|---|---|---|---|---|
| Iniciar o warehouse | x | x | x | x | ||
| Exibir detalhes do warehouse | x | x | x | x | x | |
| Exobor consultas de warehouse | x | x | x | x | ||
| Executar consultas | x | x | x | x | ||
| Exibir guia de monitoramento do warehouse | x | x | x | x | ||
| Parar o warehouse | x | x | ||||
| Excluir o warehouse | x | x | ||||
| Editar o warehouse | x | x | ||||
| Modificar permissões | x | x |
Observação
A permissão CAN VIEW está em Visualização Pública.
ACLs de endpoint de pesquisa vetorial
| Capacidade | SEM PERMISSÕES | PODE CRIAR | PODE USAR | PODE GERENCIAR |
|---|---|---|---|---|
| Obter ponto de extremidade | x | x | x | |
| Listar pontos de extremidade | x | x | x | |
| Criar ponto de extremidade | x | x | x | |
| Usar ponto de extremidade (criar índice) | x | x | ||
| Excluir o ponto de extremidade | x | |||
| Modificar permissões | x |