Listas de controlo de acesso
Este artigo descreve detalhes sobre as permissões disponíveis para os diferentes objetos de espaço de trabalho.
Nota
O controle de acesso requer o plano Premium.
As configurações de controle de acesso são desabilitadas por padrão em espaços de trabalho que são atualizados do plano Standard para o plano Premium. Uma vez que uma configuração de controle de acesso está ativada, ela não pode ser desativada. Para obter mais informações, consulte As listas de controles de acesso podem ser habilitadas em espaços de trabalho atualizados.
Visão geral das listas de controle de acesso
No Azure Databricks, você pode usar listas de controle de acesso (ACLs) para configurar a permissão para acessar objetos no nível do espaço de trabalho. Os administradores de espaço de trabalho têm a permissão CAN MANAGE em todos os objetos em seu espaço de trabalho, o que lhes dá a capacidade de gerenciar permissões em todos os objetos em seus espaços de trabalho. Os usuários têm automaticamente a permissão CAN MANAGE para objetos que criam.
Para obter um exemplo de como mapear personas típicas para permissões no nível do espaço de trabalho, consulte a Proposta de introdução aos grupos e permissões do Databricks.
Gerenciar listas de controle de acesso com pastas
Você pode gerenciar permissões de objeto de espaço de trabalho adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tem a permissão CAN RUN em uma pasta tem a permissão CAN RUN nos alertas dessa pasta.
Se você conceder a um usuário acesso a um objeto dentro da pasta, ele poderá exibir o nome da pasta pai, mesmo que não tenha permissões na pasta pai. Por exemplo, um bloco de anotações chamado test1.py
está em uma pasta chamada Workflows
. Se você conceder a um usuário CAN READ on test1.py
e nenhuma permissão no Workflows
, o usuário poderá ver que a pasta pai é nomeada Workflows
. O usuário não pode exibir ou acessar quaisquer outros objetos na pasta, a Workflows
menos que tenham recebido permissões sobre eles.
Para saber mais sobre como organizar objetos em pastas, consulte Navegador de espaço de trabalho.
ACLs do painel AI/BI
Capacidade | SEM PERMISSÕES | PODE VER/PODE EXECUTAR | PODE EDITAR | PODE GERIR |
---|---|---|---|---|
Ver painel e resultados | x | x | x | |
Interaja com widgets | x | x | x | |
Atualizar o painel | x | x | x | |
Editar o dashboard | x | x | ||
Painel de clonagem | x | x | x | |
Publicar instantâneo do painel | x | x | ||
Modificar permissões | x | |||
Excluir painel | x |
ACLs de alertas
Capacidade | SEM PERMISSÕES | PODE CORRER | PODE GERIR |
---|---|---|---|
Ver na lista de alertas | x | x | |
Ver alerta e resultado | x | x | |
Acionar manualmente a execução do alerta | x | x | |
Subscrever as notificações | x | x | |
Editar alerta | x | ||
Modificar permissões | x | ||
Excluir alerta | x |
Computar ACLs
Importante
Os usuários com permissões CAN ATTACH TO podem visualizar as chaves da conta de serviço no arquivo log4j. Tenha cuidado ao conceder esse nível de permissão.
Capacidade | SEM PERMISSÕES | PODE ANEXAR A | PODE REINICIAR: | PODE GERIR |
---|---|---|---|---|
Anexar bloco de notas à computação | x | x | x | |
Ver IU do Spark | x | x | x | |
Ver métricas de computação | x | x | x | |
Encerrar a computação | x | x | ||
Iniciar e reiniciar a computação | x | x | ||
Ver registos de controladores | x (ver nota) | |||
Editar computação | x | |||
Anexar biblioteca à computação | x | |||
Redimensionar computação | x | |||
Modificar permissões | x |
Nota
Os segredos não são editados do log stdout
stderr
e dos fluxos do driver Spark de um cluster. Para proteger dados confidenciais, por padrão, os logs de driver do Spark são visíveis apenas por usuários com permissão CAN MANAGE no trabalho, modo de acesso de usuário único e clusters de modo de acesso compartilhado. Para permitir que os usuários com permissão CAN ATTACH TO ou CAN RESTART visualizem os logs nesses clusters, defina a seguinte propriedade de configuração do Spark na configuração do cluster: spark.databricks.acl.needAdminPermissionToViewLogs false
.
Em clusters do modo de acesso partilhado sem isolamento, os registos do do controlador do Spark podem ser visualizados por utilizadores com as permissões CAN ATTACH TO ou CAN MANAGE. Para limitar quem pode ler os logs apenas aos usuários com a permissão CAN MANAGE, defina spark.databricks.acl.needAdminPermissionToViewLogs
como true
.
Consulte Configuração do Spark para saber como adicionar propriedades do Spark a uma configuração de cluster.
ACLs de painel herdadas
Capacidade | SEM PERMISSÕES | PODE VER | PODE CORRER | PODE EDITAR | PODE GERIR |
---|---|---|---|---|---|
Ver na lista de painéis | x | x | x | x | |
Ver painel e resultados | x | x | x | x | |
Atualizar os resultados da consulta no painel (ou escolher parâmetros diferentes) | x | x | x | ||
Editar o dashboard | x | x | |||
Modificar permissões | x | ||||
Excluir painel | x |
A edição de um painel herdado requer a configuração Executar como compartilhamento de visualizador . Consulte Comportamento de atualização e contexto de execução.
ACLs de tabelas delta ao vivo
Capacidade | SEM PERMISSÕES | PODE VER | PODE CORRER | PODE GERIR | É PROPRIETÁRIO |
---|---|---|---|---|---|
Exibir detalhes do pipeline e listar pipeline | x | x | x | x | |
Exibir a interface do usuário do Spark e os logs de driver | x | x | x | x | |
Iniciar e parar uma atualização de pipeline | x | x | x | ||
Pare clusters de pipeline diretamente | x | x | x | ||
Editar configurações de pipeline | x | x | |||
Excluir o pipeline | x | x | |||
Purgar execuções e experimentos | x | x | |||
Modificar permissões | x | x |
ACLs de tabelas de recursos
Esta tabela descreve como controlar o acesso a tabelas de recursos em espaços de trabalho que não estão habilitados para o Catálogo Unity. Se seu espaço de trabalho estiver habilitado para o Unity Catalog, use os privilégios do Unity Catalog em vez disso.
Nota
- O controle de acesso do Feature Store não controla o acesso à tabela Delta subjacente, que é governada pelo controle de acesso à tabela.
- Para obter mais informações sobre permissões de tabela de recursos de espaço de trabalho, consulte Controlar o acesso a tabelas de recursos.
Capacidade | PODE VISUALIZAR METADADOS | PODE EDITAR METADADOS | PODE GERIR |
---|---|---|---|
Ler tabela de funcionalidades | X | X | X |
Tabela de recursos de pesquisa | X | X | X |
Publicar tabela de recursos na loja online | X | X | X |
Gravar recursos na tabela de recursos | X | X | |
Atualizar a descrição da tabela de recursos | X | X | |
Modificar permissões | X | ||
Excluir tabela de recursos | X |
ACLs de arquivo
Capacidade | SEM PERMISSÕES | PODE LER | PODE CORRER | PODE EDITAR | PODE GERIR |
---|---|---|---|---|---|
Ler ficheiro | x | x | x | x | |
Comentário | x | x | x | x | |
Anexar e desanexar arquivo | x | x | x | ||
Executar arquivo interativamente | x | x | x | ||
Editar ficheiro | x | x | |||
Modificar permissões | x |
ACLs de pasta
Capacidade | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE CORRER | PODE GERIR |
---|---|---|---|---|---|
Listar objetos na pasta | x | x | x | x | x |
Exibir objetos na pasta | x | x | x | x | |
Clone e exporte itens | x | x | x | ||
Executar objetos na pasta | x | x | |||
Criar, importar e excluir itens | x | ||||
Mover e renomear itens | x | ||||
Modificar permissões | x |
ACLs de espaço Genie
Capacidade | SEM PERMISSÕES | PODE VER/PODE EXECUTAR | PODE EDITAR | PODE GERIR |
---|---|---|---|---|
Ver na lista de espaços do Genie | x | x | x | x |
Faça perguntas ao Genie | x | x | x | |
Fornecer feedback de resposta | x | x | x | |
Adicionar ou editar instruções do Genie | x | x | ||
Adicionar ou editar exemplos de perguntas | x | x | ||
Adicionar ou remover tabelas incluídas | x | x | ||
Monitorizar um espaço | x | |||
Modificar permissões | x | |||
Excluir espaço | x | |||
Ver conversas de outros utilizadores | x |
ACLs da pasta Git
Capacidade | SEM PERMISSÕES | PODE LER | PODE CORRER | PODE EDITAR | PODE GERIR |
---|---|---|---|---|---|
Listar ativos em uma pasta | x | x | x | x | x |
Exibir ativos em uma pasta | x | x | x | x | |
Clone e exporte ativos | x | x | x | x | |
Executar ativos executáveis na pasta | x | x | x | ||
Editar e renomear ativos em uma pasta | x | x | |||
Criar uma ramificação em uma pasta | x | ||||
Puxar ou empurrar uma ramificação para uma pasta | x | ||||
Criar, importar, excluir e mover ativos | x | ||||
Modificar permissões | x |
ACLs de trabalho
Capacidade | SEM PERMISSÕES | PODE VER | PODE GERENCIAR A EXECUÇÃO | É PROPRIETÁRIO | PODE GERIR |
---|---|---|---|---|---|
Exibir detalhes e configurações do trabalho | x | x | x | x | |
Ver resultados | x | x | x | x | |
Exibir a interface do usuário do Spark, logs de uma execução de trabalho | x | x | x | ||
Executar agora | x | x | x | ||
Cancelar execução | x | x | x | ||
Editar configurações de trabalho | x | x | |||
Eliminar trabalho | x | x | |||
Modificar permissões | x | x |
ACLs de experimento MLflow
Capacidade | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE GERIR |
---|---|---|---|---|
Ver informações de execução pesquisa comparar execuções | x | x | x | |
Exibir, listar e baixar artefatos de execução | x | x | x | |
Criar, excluir e restaurar execuções | x | x | ||
Registrar parâmetros de execução, métricas, tags | x | x | ||
Artefatos de execução de log | x | x | ||
Editar tags de experimento | x | x | ||
Purgar execuções e experimentos | x | |||
Modificar permissões | x |
ACLs do modelo MLflow
Esta tabela descreve como controlar o acesso a modelos registrados em espaços de trabalho que não estão habilitados para o Unity Catalog. Se seu espaço de trabalho estiver habilitado para o Unity Catalog, use os privilégios do Unity Catalog em vez disso.
Capacidade | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE GERENCIAR VERSÕES DE PREPARO | PODE GERENCIAR VERSÕES DE PRODUÇÃO | PODE GERIR |
---|---|---|---|---|---|---|
Exibir detalhes do modelo, versões, solicitações de transição de estágio, atividades e URIs de download de artefato | x | x | x | x | x | |
Solicitar uma transição de estágio da versão do modelo | x | x | x | x | x | |
Adicionar uma versão a um modelo | x | x | x | x | ||
Atualizar descrição do modelo e da versão | x | x | x | x | ||
Adicionar ou editar tags | x | x | x | x | ||
Versão do modelo de transição entre estágios | x | x | x | |||
Aprovar uma solicitação de transição | x | x | x | |||
Cancelar uma solicitação de transição | x | |||||
Renomear modelo | x | |||||
Modificar permissões | x | |||||
Excluir versões de modelo e modelo | x |
Notebook ACLs
Capacidade | SEM PERMISSÕES | PODE LER | PODE CORRER | PODE EDITAR | PODE GERIR |
---|---|---|---|---|---|
Ver células | x | x | x | x | |
Comentário | x | x | x | x | |
Executar através de fluxos de trabalho %run ou notebooks | x | x | x | x | |
Anexar e desanexar blocos de notas | x | x | x | ||
Executar comandos | x | x | x | ||
Editar células | x | x | |||
Modificar permissões | x |
Pool ACLs
Capacidade | SEM PERMISSÕES | PODE ANEXAR A | PODE GERIR |
---|---|---|---|
Anexar cluster ao pool | x | x | |
Excluir pool | x | ||
Editar pool | x | ||
Modificar permissões | x |
ACLs de consulta
Capacidade | SEM PERMISSÕES | PODE VER | PODE CORRER | PODE EDITAR | PODE GERIR |
---|---|---|---|---|---|
Ver consultas próprias | x | x | x | x | |
Ver na lista de consultas | x | x | x | x | |
Ver texto da consulta | x | x | x | x | |
Ver resultado da consulta | x | x | x | x | |
Atualizar o resultado da consulta (ou escolher parâmetros diferentes) | x | x | x | ||
Incluir a consulta em um painel | x | x | x | ||
Editar texto da consulta | x | x | |||
Alterar o SQL warehouse ou a fonte de dados | x | ||||
Modificar permissões | x | ||||
Excluir consulta | x |
ACLs secretas
Capacidade | LER | ESCREVER | GERIR |
---|---|---|---|
Leia o âmbito secreto | x | x | x |
Listar segredos no escopo | x | x | x |
Escrever no âmbito secreto | x | x | |
Modificar permissões | x |
Servindo ACLs de endpoint
Capacidade | SEM PERMISSÕES | PODE VER | PODE CONSULTAR | PODE GERIR |
---|---|---|---|---|
Obter endpoint | x | x | x | |
Listar ponto de extremidade | x | x | x | |
Ponto de extremidade de consulta | x | x | ||
Atualizar configuração do ponto de extremidade | x | |||
Excluir ponto de extremidade | x | |||
Modificar permissões | x |
SQL warehouse ACLs
Capacidade | SEM PERMISSÕES | PODE USAR | PODE MONITORAR | É PROPRIETÁRIO | PODE GERIR |
---|---|---|---|---|---|
Iniciar o armazém | x | x | x | x | |
Ver detalhes do armazém | x | x | x | x | |
Ver consultas de armazém | x | x | x | ||
Ver separador de monitorização de armazém | x | x | x | ||
Pare o armazém | x | x | |||
Excluir o depósito | x | x | |||
Editar o armazém | x | x | |||
Modificar permissões | x | x |