Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
På den här sidan beskrivs information om de behörigheter som är tillgängliga för de olika arbetsyteobjekten.
Note
Åtkomstkontroll kräver Premium-planen.
Inställningar för åtkomstkontroll är inaktiverade som standard på arbetsytor som uppgraderas från standardplanen till Premium-planen. När en inställning för åtkomstkontroll har aktiverats kan den inte inaktiveras. För ytterligare information, se Åtkomstkontrollistor kan aktiveras i uppgraderade arbetsytor.
Översikt över åtkomstkontrollistor
I Azure Databricks kan du använda åtkomstkontrollistor (ACL: er) för att konfigurera behörighet att komma åt objekt på arbetsytenivå. Arbetsyteadministratörer har behörigheten CAN MANAGE för alla objekt på arbetsytan, vilket ger dem möjlighet att hantera behörigheter för alla objekt på sina arbetsytor. Användare har automatiskt behörigheten CAN MANAGE för objekt som de skapar.
Ett exempel på hur du mappar vanliga personer till behörigheter på arbetsytenivå finns i Förslag på Komma igång med Databricks-grupper och behörigheter.
Hantera åtkomstkontrollistorna med hjälp av mappar
Du kan hantera behörigheter för arbetsyteobjekt genom att lägga till objekt i mappar. Objekt i en mapp ärver alla behörighetsinställningar för den mappen. En användare som har behörigheten CAN RUN på en mapp har till exempel CAN RUN-behörighet för aviseringarna i mappen.
Om du ger en användare åtkomst till ett objekt i mappen kan de visa den överordnade mappens namn, även om de inte har behörighet för den överordnade mappen. En notebook-fil med namnet test1.py finns till exempel i en mapp med namnet Workflows. Om du beviljar en användare CAN VIEW på test1.py och inga behörigheter på Workflowskan användaren se att den överordnade mappen heter Workflows. Användaren kan inte visa eller komma åt andra objekt i Workflows mappen om de inte har beviljats behörighet för dem.
För att lära dig om att organisera objekt i mappar, se Arbetsytans webbläsare.
Aviserings-ACL:er
| Ability | INGA BEHÖRIGHETER | KAN KÖRA | KUNNA HANTERA |
|---|---|---|---|
| Se i larmlistan | x | x | |
| Visa avisering och resultat | x | x | |
| Manuell utlösning av larmsprocess | x | x | |
| Prenumerera på aviseringar | x | x | |
| Redigera avisering | x | ||
| Ändra behörigheter | x | ||
| Ta bort avisering | x |
Beräknings-ACL:er
Important
På beräkningsresurser som använder det äldre åtkomstläget Ingen isolering delas, användare med CAN ATTACH TO-behörigheter kan visa tjänstkontonycklarna i log4j-filen. Var försiktig när du beviljar den här behörigheten. Mer information om det här läget och hur du begränsar det finns i Vad är inga isoleringsdelade kluster?.
| Ability | INGA BEHÖRIGHETER | KAN KOPPLAS TILL | KAN STARTA OM | KUNNA HANTERA |
|---|---|---|---|---|
| Anslut notebook till beräkning | x | x | x | |
| Visa Spark-användargränssnitt | x | x | x | |
| Visa beräkningsmått | x | x | x | |
| Avsluta beräkning | x | x | ||
| Starta och starta om beräkning | x | x | ||
| Visa loggar för drivrutiner | x (se anmärkning) | |||
| Redigera beräkning | x | |||
| Bifoga bibliotek för beräkning | x | |||
| Ändra storlek på beräkningsresurser | x | |||
| Ändra behörigheter | x |
Note
Hemligheter tas inte bort från ett klusters Spark-drivrutinslogg stdout och stderr-strömningar. För att skydda känsliga data kan Spark-drivrutinsloggar som standard endast visas av användare med CAN MANAGE-behörighet för jobb, dedikerat åtkomstläge och kluster för standardåtkomstläge. Om du vill tillåta användare med behörigheten CAN ATTACH TO eller CAN RESTART att visa loggarna i dessa kluster anger du följande Spark-konfigurationsegenskap i klusterkonfigurationen: spark.databricks.acl.needAdminPermissionToViewLogs false.
På kluster för delat åtkomstläge utan isolering kan Spark-drivrutinsloggarna visas av användare med behörigheten KAN KOPPLA TILL, STARTA OM ELLER HANTERA. Om du vill begränsa vem som kan läsa loggarna till endast användare med behörigheten CAN MANAGE anger du spark.databricks.acl.needAdminPermissionToViewLogs till true.
Se Spark-konfiguration för att lära dig hur du lägger till Spark-egenskaper i en klusterkonfiguration.
ACL:er för instrumentpanelen
| Ability | INGA BEHÖRIGHETER | KAN SE/KAN KÖRA | KAN REDIGERA | KUNNA HANTERA |
|---|---|---|---|---|
| Visa instrumentpanel, resultat och datauppsättningar | x | x | x | |
| Interagera med widgetar | x | x | x | |
| Uppdatera instrumentpanelen | x | x | x | |
| Redigera instrumentpanelen | x | x | ||
| Klona panel | x | x | x | |
| Publicera ögonblicksbild av instrumentpanelen | x | x | ||
| Ändra behörigheter | x | |||
| Ta bort instrumentpanel | x |
Legacy ACL:er för instrumentpaneler
| Ability | INGA BEHÖRIGHETER | KAN TITTA | KAN KÖRA | KAN REDIGERA | KUNNA HANTERA |
|---|---|---|---|---|---|
| Se i översiktslistan | x | x | x | x | |
| Visa instrumentpanel och resultat | x | x | x | x | |
| Uppdatera frågeresultatet på instrumentpanelen (eller välj olika parametrar) | x | x | x | ||
| Redigera instrumentpanelen | x | x | |||
| Ändra behörigheter | x | ||||
| Ta bort instrumentpanel | x |
Redigering av en äldre instrumentpanel kräver delningsinställningen Kör som visningsprogram . Se även Uppdatera beteende och körningskontext.
ACL:er för databasinstanser
| Ability | INGA BEHÖRIGHETER | KAN SKAPA | KAN ANVÄNDA | KUNNA HANTERA |
|---|---|---|---|---|
| Hämta databasinstans | x | x | x | |
| Lista databasinstanser | x | x | x | |
| Skapa databasinstans | x | x | x | |
| Skapa synkroniserad tabell | x | x | ||
| Skapa Unity Catalog-databaskatalog | x | |||
| Ändra Postgres-roller | x | |||
| Ta bort databasinstans | x | |||
| Ändra behörigheter | x | |||
| Pausa databasinstansen | x | |||
| Återuppta databasinstans | x |
Note
- Alla arbetsyteanvändare ärver automatiskt CAN CREATE-behörigheten. Den här behörigheten kan inte tilldelas eller tas bort.
- När du utför åtgärder som interagerar med Unity Catalog måste du ha behörighet för Unity Catalog-objektet:
- Skapa Unity Catalog-databaskatalog: Kräver CREATE CATALOG i Unity Catalog-metaarkivet.
- Skapa synkroniserad tabell: Kräver behörigheter för Unity Catalog för att läsa källtabellen, skriva till målschemat och skriva till pipelinelagringsschemat.
ACL:er för Lakeflow Spark-deklarativa pipelines
| Ability | INGA BEHÖRIGHETER | KAN TITTA | KAN KÖRA | KUNNA HANTERA | ÄR ÄGARE |
|---|---|---|---|---|---|
| Visa detaljer för pipelines och lista pipelines | x | x | x | x | |
| Visa Spark-användargränssnitt och drivrutinsloggar | x | x | x | x | |
| Starta och stoppa en pipeline-uppdatering | x | x | x | ||
| Stoppa rörledningskluster direkt | x | x | x | ||
| Redigera pipelineinställningar | x | x | |||
| Ta bort pipelinen | x | x | |||
| Rensa körningar och experiment | x | x | |||
| Ändra behörigheter | x | x |
ACL-listor för egenskapstabeller
Den här tabellen beskriver hur du styr åtkomsten till funktionstabeller på arbetsytor som inte är aktiverade för Unity Catalog. Om din arbetsyta är aktiverad för Unity Catalog använder du Unity-katalogbehörigheter i stället.
Note
- Åtkomstkontrollen för Feature Store styr inte åtkomsten till den underliggande Delta-tabellen, vilken styrs av tabellåtkomstkontroll.
- Mer information om behörigheter för arbetsytans funktionstabeller finns i Kontrollera åtkomsten till funktionstabeller i Arbetsytans funktionslager (äldre).
| Ability | KAN VISA METADATA | KAN REDIGERA METADATA | KUNNA HANTERA |
|---|---|---|---|
| Läs funktionstabell | X | X | X |
| Sökfunktionstabell | X | X | X |
| Publicera funktionstabell för webbutik | X | X | X |
| Skriva funktioner till funktionstabell | X | X | |
| Uppdatera beskrivning av funktionstabell | X | X | |
| Ändra behörigheter | X | ||
| Ta bort funktionstabell | X |
Fil-ACLs
| Ability | INGA BEHÖRIGHETER | KAN TITTA | KAN KÖRA | KAN REDIGERA | KUNNA HANTERA |
|---|---|---|---|---|---|
| Läs fil | x | x | x | x | |
| Comment | x | x | x | x | |
| Bifoga och koppla bort fil | x | x | x | ||
| Kör filen interaktivt | x | x | x | ||
| Redigera fil | x | x | |||
| Ändra behörigheter | x |
Note
Arbetsytans användargränssnitt benämner visningsåtkomst som CAN VIEW, medan BEHÖRIGHETs-API:et använder CAN READ för att representera samma åtkomstnivå.
ACL:er för mapp
| Ability | INGA BEHÖRIGHETER | KAN TITTA | KAN REDIGERA | KAN KÖRA | KUNNA HANTERA |
|---|---|---|---|---|---|
| Visa en lista över objekt i mappen | x | x | x | x | x |
| Visa objekt i mappen | x | x | x | x | |
| Klona och exportera objekt | x | x | x | ||
| Kör objekt i mappen | x | x | |||
| Skapa, importera och ta bort objekt | x | ||||
| Flytta och byt namn på objekt | x | ||||
| Ändra behörigheter | x |
Note
Arbetsytans användargränssnitt benämner visningsåtkomst som CAN VIEW, medan BEHÖRIGHETs-API:et använder CAN READ för att representera samma åtkomstnivå.
Genie space åtkomstkontrollistor
| Ability | INGA BEHÖRIGHETER | KAN SE/KAN KÖRA | KAN REDIGERA | KUNNA HANTERA |
|---|---|---|---|---|
| Se i Genie-utrymmeslistan | x | x | x | |
| Ställ frågor till Genie | x | x | x | |
| Ge feedback om svar | x | x | x | |
| Lägga till eller redigera Genie-instruktioner | x | x | ||
| Lägga till eller redigera exempelfrågor | x | x | ||
| Lägga till eller ta bort inkluderade tabeller | x | x | ||
| Övervaka ett utrymme | x | |||
| Ändra behörigheter | x | |||
| Ta bort utrymme | x | |||
| Visa andra användares konversationer | x |
ACL:er för Git-mapp
| Ability | INGA BEHÖRIGHETER | KAN LÄSA | KAN KÖRA | KAN REDIGERA | KUNNA HANTERA |
|---|---|---|---|---|---|
| Visa en lista över tillgångar i en mapp | x | x | x | x | x |
| Visa tillgångar i en mapp | x | x | x | x | |
| Klona och exportera tillgångar | x | x | x | x | |
| Köra körbara filer i mappen | x | x | x | ||
| Redigera och byta namn på tillgångar i en mapp | x | x | |||
| Skapa en gren i en mapp | x | ||||
| Växla grenar i en mapp | x | ||||
| Hämta eller överföra en gren till en mapp | x | ||||
| Skapa, importera, ta bort och flytta tillgångar | x | ||||
| Ändra behörigheter | x |
Jobb-ACL
| Ability | INGA BEHÖRIGHETER | KAN TITTA | KAN HANTERA KÖRNING | ÄR ÄGARE | KUNNA HANTERA |
|---|---|---|---|---|---|
| Visa jobbinformation och inställningar | x | x | x | x | |
| Visa resultat | x | x | x | x | |
| Visa Spark-användargränssnittet, jobbkörningens loggar | x | x | x | ||
| Kör nu | x | x | x | ||
| Stoppa processen | x | x | x | ||
| Redigera jobbinställningar | x | x | |||
| Ta bort jobb | x | x | |||
| Ändra behörigheter | x | x |
Note
Skaparen av ett jobb har behörigheten IS OWNER som standard.
Ett jobb får inte ha fler än en ägare.
En grupp kan inte tilldelas behörigheten Ägare.
Jobb som utlöses via Kör nu förutsätter behörigheterna för jobbägaren och inte användaren som utfärdade Kör nu.
Åtkomstkontroll för jobb gäller för jobb som visas i användargränssnittet för Lakeflow-jobb och deras körningar. Det gäller inte för:
- Notebook-arbetsflöden som kör modulär eller länkad kod. Dessa använder behörigheterna för själva notebooken. Om notebook-filen kommer från Git skapas en ny kopia och dess filer ärver behörigheterna för den användare som utlöste körningen.
-
Jobb som skickas av API. Dessa använder notebook-filens standardbehörigheter om du inte uttryckligen
access_control_listanger i API-begäran.
:::
ACL:er för MLflow-experiment
ACL:er för MLflow-experiment skiljer sig åt för notebook-experiment och arbetsyteexperiment. Notebook-experiment kan inte hanteras oberoende av anteckningsboken som skapade dem, så behörigheterna liknar notebook-behörigheter.
Mer information om de två typerna av experiment finns i Organisera träningskörningar med MLflow-experiment.
ACL:er för anteckningsboksexperiment
Om du ändrar dessa behörigheter ändras även behörigheterna för notebook-filen som motsvarar experimentet.
| Ability | INGA BEHÖRIGHETER | KAN LÄSA | KAN KÖRA | KAN REDIGERA | KUNNA HANTERA |
|---|---|---|---|---|---|
| Visa anteckningsbok | x | x | x | x | |
| Kommentera i anteckningsboken | x | x | x | x | |
| Anslut/koppla bort bärbar dator till dator | x | x | x | ||
| Köra kommandon i notebooken | x | x | x | ||
| Redigera anteckningsbok | x | x | |||
| Ändra behörigheter | x |
ACL:er för arbetsyteexperiment
| Ability | INGA BEHÖRIGHETER | KAN LÄSA | KAN REDIGERA | KUNNA HANTERA |
|---|---|---|---|---|
| Visa experiment | x | x | x | |
| Logga körningar till experimentet | x | x | ||
| Redigera experimentet | x | x | ||
| Ta bort experimentet | x | |||
| Ändra behörigheter | x |
ACL:er för MLflow-modell
Den här tabellen beskriver hur du styr åtkomsten till registrerade modeller på arbetsytor som inte är aktiverade för Unity Catalog. Om din arbetsyta är aktiverad för Unity Catalog använder du Unity-katalogbehörigheter i stället.
| Ability | INGA BEHÖRIGHETER | KAN LÄSA | KAN REDIGERA | KAN HANTERA TESTVERSIONER | KAN HANTERA PRODUKTIONSVERSIONER | KUNNA HANTERA |
|---|---|---|---|---|---|---|
| Visa modellinformation, versioner, scenövergångsbegäranden, aktiviteter och URI:er för artefaktnedladdning | x | x | x | x | x | |
| Begära en modellversionsstegövergång | x | x | x | x | x | |
| Lägga till en version i en modell | x | x | x | x | ||
| Beskrivning av uppdateringsmodell och version | x | x | x | x | ||
| Lägga till eller redigera taggar | x | x | x | x | ||
| Övergångsmodellversion mellan faser | x | x | x | |||
| Godkänna en övergångsbegäran | x | x | x | |||
| Avbryta en övergångsbegäran | x | |||||
| Byt namn på modell | x | |||||
| Ändra behörigheter | x | |||||
| Ta bort modeller och modellversioner | x |
ACL:er för notebooks
| Ability | INGA BEHÖRIGHETER | KAN TITTA | KAN KÖRA | KAN REDIGERA | KUNNA HANTERA |
|---|---|---|---|---|---|
| Visa celler | x | x | x | x | |
| Comment | x | x | x | x | |
| Köra med %run- eller notebook-arbetsflöden | x | x | x | x | |
| Anslut och koppla bort anteckningsböcker | x | x | x | ||
| Kör kommandon | x | x | x | ||
| Redigera celler | x | x | |||
| Ändra behörigheter | x |
Note
Arbetsytans användargränssnitt benämner visningsåtkomst som CAN VIEW, medan BEHÖRIGHETs-API:et använder CAN READ för att representera samma åtkomstnivå.
ACL-listor för pooler
| Ability | INGA BEHÖRIGHETER | KAN KOPPLAS TILL | KUNNA HANTERA |
|---|---|---|---|
| Koppla kluster till pool | x | x | |
| Ta bort pool | x | ||
| Redigera pool | x | ||
| Ändra behörigheter | x |
Fråga ACL:er
| Ability | INGA BEHÖRIGHETER | KAN TITTA | KAN KÖRA | KAN REDIGERA | KUNNA HANTERA |
|---|---|---|---|---|---|
| Visa egna frågor | x | x | x | x | |
| Se i frågelistan | x | x | x | x | |
| Visa frågetext | x | x | x | x | |
| Visa frågeresultat | x | x | x | x | |
| Uppdatera frågeresultatet (eller välj olika parametrar) | x | x | x | ||
| Inkludera sökfrågan i en instrumentpanel | x | x | x | ||
| Ändra SQL-lager eller datakälla | x | x | x | ||
| Redigera frågetext | x | x | |||
| Ändra behörigheter | x | ||||
| Ta bort fråga | x |
ACL:er för äldre SQL-redigerare
| Ability | INGA BEHÖRIGHETER | KAN TITTA | KAN KÖRA | KAN REDIGERA | KUNNA HANTERA |
|---|---|---|---|---|---|
| Visa egna frågor | x | x | x | x | |
| Se i frågelistan | x | x | x | x | |
| Visa frågetext | x | x | x | x | |
| Visa frågeresultat | x | x | x | x | |
| Uppdatera frågeresultatet (eller välj olika parametrar) | x | x | x | ||
| Inkludera sökfrågan i en instrumentpanel | x | x | x | ||
| Redigera frågetext | x | x | |||
| Ändra SQL-lager eller datakälla | x | ||||
| Ändra behörigheter | x | ||||
| Ta bort fråga | x |
Hemliga ACL:er
| Ability | READ | WRITE | MANAGE |
|---|---|---|---|
| Läs hemlighetsomfånget | x | x | x |
| Lista hemligheter i omfånget | x | x | x |
| Skriv till det hemliga omfånget | x | x | |
| Ändra behörigheter | x |
Tjänstslutpunkts-ACL:er
| Ability | INGA BEHÖRIGHETER | KAN TITTA | KAN FRÅGA | KUNNA HANTERA |
|---|---|---|---|---|
| Hämta slutpunkt | x | x | x | |
| Lista slutpunkt | x | x | x | |
| Frågeslutpunkt | x | x | ||
| Uppdatera slutpunktskonfiguration | x | |||
| Ta bort slutpunkt | x | |||
| Ändra behörigheter | x |
ACL:er för SQL-lager
| Ability | INGA BEHÖRIGHETER | KAN TITTA | KAN ÖVERVAKA | KAN ANVÄNDA | ÄR ÄGARE | KUNNA HANTERA |
|---|---|---|---|---|---|---|
| Aktivera lagersystemet | x | x | x | x | ||
| Visa lagerdetaljer | x | x | x | x | x | |
| Visa lagersökningar | x | x | x | x | ||
| Utföra sökfrågor | x | x | x | x | ||
| Visa lagerövervakningsflik | x | x | x | x | ||
| Stoppa verksamheten i lagret | x | x | ||||
| Ta bort lagret | x | x | ||||
| Redigera informationslagret | x | x | ||||
| Ändra behörigheter | x | x |
ACL:er för vektorsökningsslutpunkt
| Ability | INGA BEHÖRIGHETER | KAN SKAPA | KAN ANVÄNDA | KUNNA HANTERA |
|---|---|---|---|---|
| Hämta slutpunkt | x | x | x | |
| Lista slutpunkter | x | x | x | |
| Skapa slutpunkt | x | x | x | |
| Använda slutpunkt (skapa index) | x | x | ||
| Ta bort slutpunkt | x | |||
| Ändra behörigheter | x |