访问控制列表
本文详细介绍了可用于不同工作区对象的权限。
访问控制列表概述
在 Azure Databricks 中,可以使用访问控制列表 (ACL) 配置权限以访问工作区级别对象。 工作区管理员对其工作区中的所有对象具有 CAN MANAGE 权限,这使他们能够管理其工作区中所有对象的权限。 用户对其创建的对象自动拥有 CAN MANAGE 权限。
有关如何将典型角色映射到工作区级权限的示例,请参阅 Databricks 组和权限入门建议。
使用文件夹管理访问控制列表
可以通过向文件夹添加对象来管理工作区对象权限。 文件夹中的对象继承该文件夹的所有权限设置。 例如,对某个文件夹拥有 CAN RUN 权限的用户会对该文件夹中的警报拥有 CAN RUN 权限。
如果向用户授予对文件夹中某个对象的访问权限,用户即使没有对父文件夹的权限,仍然可以查看父文件夹的名称。 例如,名为 test1.py 笔记本的笔记本位于名为 Workflows 的文件夹中。 如果向用户授予对 test1.py 的 CAN READ 权限,但不授予对 Workflows 的任何权限,则用户可以看到父文件夹名为 Workflows。 用户无法查看或访问 Workflows 文件夹中的任何其他对象,除非向其授予对这些对象的权限。
要了解如何将对象组织到文件夹中,请参阅工作区浏览器。
AI/BI 仪表板 ACL
| 能力 |
无权限 |
可查看/可运行 |
可编辑 |
可管理 |
| 查看仪表板和结果 |
|
x |
x |
x |
| 与小组件交互 |
|
x |
x |
x |
| 刷新仪表板 |
|
x |
x |
x |
| 编辑仪表板 |
|
|
x |
x |
| 克隆仪表板 |
|
x |
x |
x |
| 发布仪表板快照 |
|
|
x |
x |
| 修改权限 |
|
|
|
x |
| 删除仪表板 |
|
|
|
x |
警报 ACL
| 能力 |
无权限 |
可运行 |
可管理 |
| 在警报列表中查看 |
|
x |
x |
| 查看警报和结果 |
|
x |
x |
| 手动触发警报运行 |
|
x |
x |
| 订阅通知 |
|
x |
x |
| 编辑警报 |
|
|
x |
| 修改权限 |
|
|
x |
| 删除警报 |
|
|
x |
计算 ACL
重要
具有“可附加到”权限的用户可以在 log4j 文件中查看服务帐户密钥。 授予此权限级别时请务必小心。
| 能力 |
无权限 |
可附加到 |
可重启 |
可管理 |
| 将笔记本附加到计算 |
|
x |
x |
x |
| 查看 Spark UI |
|
x |
x |
x |
| 查看计算指标 |
|
x |
x |
x |
| 终止计算 |
|
|
x |
x |
| 启动和重启计算 |
|
|
x |
x |
| 查看驱动程序日志 |
|
|
|
x (查看注释) |
| 编辑计算 |
|
|
|
x |
| 将库附加到计算 |
|
|
|
x |
| 调整计算大小 |
|
|
|
x |
| 修改权限 |
|
|
|
x |
注意
不会从群集的 Spark 驱动程序日志 stdout 和 stderr 流中修订机密。 为了保护敏感数据,默认情况下,只有由对作业、单用户访问模式和共享访问模式群集具有“CAN MANAGE”权限的用户才能查看 Spark 驱动程序日志。 若要允许具有“CAN ATTACH TO”或“CAN RESTART”权限的用户查看这些群集上的日志,请在群集配置中设置以下 Spark 配置属性:spark.databricks.acl.needAdminPermissionToViewLogs false。
在“无隔离共享”访问模式群集上,具有“CAN ATTACH TO”或“CAN MANAGE”权限的用户可以查看 Spark 驱动程序日志。 若要限制只有具有“CAN MANAGE”权限的用户才能读取日志,请将 spark.databricks.acl.needAdminPermissionToViewLogs 设置为 true。
请参阅 Spark 配置来了解如何将 Spark 属性添加到群集配置。
旧版仪表板 ACL
| 能力 |
无权限 |
可查看 |
可运行 |
CAN EDIT |
可管理 |
| 在仪表板列表中查看 |
|
x |
x |
x |
x |
| 查看仪表板和结果 |
|
x |
x |
x |
x |
| 在仪表板中刷新查询结果(或选择不同的参数) |
|
|
x |
x |
x |
| 编辑仪表板 |
|
|
|
x |
x |
| 修改权限 |
|
|
|
|
x |
| 删除仪表板 |
|
|
|
|
x |
编辑旧版仪表板需要“以查看者身份运行”共享设置。 请参阅刷新行为和执行上下文。
增量实时表 ACL
| 能力 |
无权限 |
可查看 |
可运行 |
可管理 |
为所有者 |
| 查看管道详细信息并列出管道 |
|
x |
x |
x |
x |
| 查看 Spark UI 和驱动程序日志 |
|
x |
x |
x |
x |
| 启动和停止管道更新 |
|
|
x |
x |
x |
| 直接停止管道群集 |
|
|
x |
x |
x |
| 编辑管道设置 |
|
|
|
x |
x |
| 删除管道 |
|
|
|
x |
x |
| 清除运行和试验 |
|
|
|
x |
x |
| 修改权限 |
|
|
|
x |
x |
特征表 ACL
此表描述了如何控制对未为 Unity Catalog 启用的工作区中的特征表的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限。
| 能力 |
可查看元数据 |
可编辑元数据 |
可管理 |
| 读取特征表 |
X |
X |
X |
| 搜索特征表 |
X |
X |
X |
| 将特征表发布到联机存储 |
X |
X |
X |
| 将特征写入特征表 |
|
X |
X |
| 更新特征表的说明 |
|
X |
X |
| 修改权限 |
|
|
X |
| 删除特征表 |
|
|
X |
文件 ACL
| 能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
CAN MANAGE |
| 读取文件 |
|
x |
x |
x |
x |
| 注释 |
|
x |
x |
x |
x |
| 附加和分离文件 |
|
|
x |
x |
x |
| 以交互方式运行文件 |
|
|
x |
x |
x |
| 编辑文件 |
|
|
|
x |
x |
| 修改权限 |
|
|
|
|
x |
文件夹 ACL
| 能力 |
无权限 |
可读取 |
可编辑 |
可运行 |
可管理 |
| 列出文件夹中的对象 |
x |
x |
x |
x |
x |
| 查看文件夹中的对象 |
|
x |
x |
x |
x |
| 克隆和导出项 |
|
|
x |
x |
x |
| 运行文件夹中运行对象 |
|
|
|
x |
x |
| 创建、导入和删除项 |
|
|
|
|
x |
| 移动和重命名项 |
|
|
|
|
x |
| 修改权限 |
|
|
|
|
x |
Genie 空间 ACL
| 能力 |
无权限 |
可查看/可运行 |
可编辑 |
CAN MANAGE |
| 在 Genie 空间列表中查看 |
x |
x |
x |
x |
| 向 Genie 提问 |
|
x |
x |
x |
| 提供回复反馈 |
|
x |
x |
x |
| 添加或编辑 Genie 指令 |
|
|
x |
x |
| 添加或编辑示例问题 |
|
|
x |
x |
| 添加或删除包含的表 |
|
|
x |
x |
| 监视空间 |
|
|
|
x |
| 修改权限 |
|
|
|
x |
| 删除空间 |
|
|
|
x |
| 查看其他用户的对话 |
|
|
|
x |
Git 文件夹 ACL
| 能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
CAN MANAGE |
| 列出文件夹中的资产 |
x |
x |
x |
x |
x |
| 查看文件夹中的资产 |
|
x |
x |
x |
x |
| 克隆和导出资产 |
|
x |
x |
x |
x |
| 在文件夹中运行可执行资产 |
|
|
x |
x |
x |
| 编辑和重命名文件夹中的资产 |
|
|
|
x |
x |
| 在文件夹中创建分支 |
|
|
|
|
x |
| 拉取分支或将分支推送到文件夹中 |
|
|
|
|
x |
| 创建、导入、删除和移动资产 |
|
|
|
|
x |
| 修改权限 |
|
|
|
|
x |
作业 ACL
| 能力 |
无权限 |
可查看 |
可管理运行 |
是所有者 |
可管理 |
| 查看作业详细信息及设置 |
|
x |
x |
x |
x |
| 查看结果 |
|
x |
x |
x |
x |
| 查看 Spark UI,作业运行的日志 |
|
|
x |
x |
x |
| 立即运行 |
|
|
x |
x |
x |
| 取消运行 |
|
|
x |
x |
x |
| 编辑作业设置 |
|
|
|
x |
x |
| 删除作业 |
|
|
|
x |
x |
| 修改权限 |
|
|
|
x |
x |
MLflow 试验 ACL
| 能力 |
无权限 |
可读取 |
可编辑 |
可管理 |
| 查看运行信息、搜索、比较运行 |
|
x |
x |
x |
| 查看、列出和下载运行项目 |
|
x |
x |
x |
| 创建、删除和还原运行 |
|
|
x |
x |
| 记录运行参数、指标、标记 |
|
|
x |
x |
| 记录运行项目 |
|
|
x |
x |
| 编辑试验标记 |
|
|
x |
x |
| 清除运行和试验 |
|
|
|
x |
| 修改权限 |
|
|
|
x |
MLflow 模型 ACL
此表描述了如何控制对未为 Unity Catalog 启用的工作区中的注册模型的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限。
| 能力 |
无权限 |
可读取 |
可编辑 |
可管理暂存版本 |
可管理生产版本 |
可管理 |
| 查看模型详细信息、版本、阶段转换请求、活动以及项目下载 URI |
|
x |
x |
x |
x |
x |
| 请求模型版本阶段转换 |
|
x |
x |
x |
x |
x |
| 向模型添加版本 |
|
|
x |
x |
x |
x |
| 更新模型和版本说明 |
|
|
x |
x |
x |
x |
| 添加或编辑标签 |
|
|
x |
x |
x |
x |
| 在阶段之间转换模型版本 |
|
|
|
x |
x |
x |
| 批准转换请求 |
|
|
|
x |
x |
x |
| 取消转换请求 |
|
|
|
|
|
x |
| 重命名模型 |
|
|
|
|
|
x |
| 修改权限 |
|
|
|
|
|
x |
| 删除模型和模型版本 |
|
|
|
|
|
x |
笔记本 ACL
| 能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
可管理 |
| 查看单元 |
|
x |
x |
x |
x |
| 注释 |
|
x |
x |
x |
x |
| 通过 %run 或笔记本工作流来运行 |
|
x |
x |
x |
x |
| 附加和分离笔记本 |
|
|
x |
x |
x |
| 运行命令 |
|
|
x |
x |
x |
| 编辑单元 |
|
|
|
x |
x |
| 修改权限 |
|
|
|
|
x |
池 ACL
| 能力 |
无权限 |
可附加到 |
可管理 |
| 将群集附加到池 |
|
x |
x |
| 删除池 |
|
|
x |
| 编辑池 |
|
|
x |
| 修改权限 |
|
|
x |
查询 ACL
| 能力 |
无权限 |
可查看 |
可运行 |
CAN EDIT |
可管理 |
| 查看自己的查询 |
|
x |
x |
x |
x |
| 在查询列表中查看 |
|
x |
x |
x |
x |
| 查看查询文本 |
|
x |
x |
x |
x |
| 查看查询结果 |
|
x |
x |
x |
x |
| 刷新查询结果(或选择其他参数) |
|
|
x |
x |
x |
| 在仪表板中包含查询 |
|
|
x |
x |
x |
| 编辑查询文本 |
|
|
|
x |
x |
| 更改 SQL 仓库或数据源 |
|
|
|
|
x |
| 修改权限 |
|
|
|
|
x |
| 删除查询 |
|
|
|
|
x |
机密 ACL
| 能力 |
READ |
WRITE |
管理 |
| 读取机密范围 |
x |
x |
x |
| 列出保管库中的机密 |
x |
x |
x |
| 写入机密范围 |
|
x |
x |
| 修改权限 |
|
|
x |
服务终结点 ACL
| 能力 |
无权限 |
可查看 |
可查询 |
可管理 |
| 获取终结点 |
|
x |
x |
x |
| 列出终结点 |
|
x |
x |
x |
| 查询终结点 |
|
|
x |
x |
| 更新终结点配置 |
|
|
|
x |
| 删除终结点 |
|
|
|
x |
| 修改权限 |
|
|
|
x |
SQL 仓库 ACL
| 能力 |
无权限 |
可使用 |
CAN MONITOR |
是所有者 |
可管理 |
| 启动仓库 |
|
x |
x |
x |
x |
| 查看仓库详细信息 |
|
x |
x |
x |
x |
| 查看仓库查询 |
|
|
x |
x |
x |
| 查看仓库的监视选项卡 |
|
|
x |
x |
x |
| 停止仓库 |
|
|
|
x |
x |
| 删除仓库 |
|
|
|
x |
x |
| 编辑仓库 |
|
|
|
x |
x |
| 修改权限 |
|
|
|
x |
x |