访问控制列表

本文详细介绍了可用于不同工作区对象的权限。

注意

访问控制需要高级计划

在从标准计划升级到高级计划的工作区中,访问控制设置默认处于禁用状态。 一旦启用访问控制设置,就无法将其禁用。 有关详细信息,请参阅可对升级的工作区启用访问控制列表

访问控制列表概述

在 Azure Databricks 中,可以使用访问控制列表 (ACL) 配置权限以访问工作区级别对象。 工作区管理员对其工作区中的所有对象具有 CAN MANAGE 权限,这使他们能够管理其工作区中所有对象的权限。 用户对其创建的对象自动拥有 CAN MANAGE 权限。

有关如何将典型角色映射到工作区级权限的示例,请参阅 Databricks 组和权限入门建议

使用文件夹管理访问控制列表

可以通过向文件夹添加对象来管理工作区对象权限。 文件夹中的对象继承该文件夹的所有权限设置。 例如,对某个文件夹拥有 CAN RUN 权限的用户会对该文件夹中的警报拥有 CAN RUN 权限。

如果向用户授予对文件夹中某个对象的访问权限,用户即使没有对父文件夹的权限,仍然可以查看父文件夹的名称。 例如,名为 test1.py 笔记本的笔记本位于名为 Workflows 的文件夹中。 如果向用户授予对 test1.py 的 CAN READ 权限,但不授予对 Workflows 的任何权限,则用户可以看到父文件夹名为 Workflows。 用户无法查看或访问 Workflows 文件夹中的任何其他对象,除非向其授予对这些对象的权限。

要了解如何将对象组织到文件夹中,请参阅工作区浏览器

AI/BI 仪表板 ACL

能力 无权限 可查看/可运行 可编辑 可管理
查看仪表板和结果 x x x
与小组件交互 x x x
刷新仪表板 x x x
编辑仪表板 x x
克隆仪表板 x x x
发布仪表板快照 x x
修改权限 x
删除仪表板 x

警报 ACL

能力 无权限 可运行 可管理
在警报列表中查看 x x
查看警报和结果 x x
手动触发警报运行 x x
订阅通知 x x
编辑警报 x
修改权限 x
删除警报 x

计算 ACL

重要

具有“可附加到”权限的用户可以在 log4j 文件中查看服务帐户密钥。 授予此权限级别时请务必小心。

能力 无权限 可附加到 可重启 可管理
将笔记本附加到计算 x x x
查看 Spark UI x x x
查看计算指标 x x x
终止计算 x x
启动和重启计算 x x
查看驱动程序日志 x (查看注释)
编辑计算 x
将库附加到计算 x
调整计算大小 x
修改权限 x

注意

不会从群集的 Spark 驱动程序日志 stdoutstderr 流中修订机密。 为了保护敏感数据,默认情况下,只有由对作业、单用户访问模式和共享访问模式群集具有“CAN MANAGE”权限的用户才能查看 Spark 驱动程序日志。 若要允许具有“CAN ATTACH TO”或“CAN RESTART”权限的用户查看这些群集上的日志,请在群集配置中设置以下 Spark 配置属性:spark.databricks.acl.needAdminPermissionToViewLogs false

在“无隔离共享”访问模式群集上,具有“CAN ATTACH TO”或“CAN MANAGE”权限的用户可以查看 Spark 驱动程序日志。 若要限制只有具有“CAN MANAGE”权限的用户才能读取日志,请将 spark.databricks.acl.needAdminPermissionToViewLogs 设置为 true

请参阅 Spark 配置来了解如何将 Spark 属性添加到群集配置。

旧版仪表板 ACL

能力 无权限 可查看 可运行 CAN EDIT 可管理
在仪表板列表中查看 x x x x
查看仪表板和结果 x x x x
在仪表板中刷新查询结果(或选择不同的参数) x x x
编辑仪表板 x x
修改权限 x
删除仪表板 x

编辑旧版仪表板需要“以查看者身份运行”共享设置。 请参阅刷新行为和执行上下文

增量实时表 ACL

能力 无权限 可查看 可运行 可管理 为所有者
查看管道详细信息并列出管道 x x x x
查看 Spark UI 和驱动程序日志 x x x x
启动和停止管道更新 x x x
直接停止管道群集 x x x
编辑管道设置 x x
删除管道 x x
清除运行和试验 x x
修改权限 x x

特征表 ACL

此表描述了如何控制对未为 Unity Catalog 启用的工作区中的特征表的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限

注意

能力 可查看元数据 可编辑元数据 可管理
读取特征表 X X X
搜索特征表 X X X
将特征表发布到联机存储 X X X
将特征写入特征表 X X
更新特征表的说明 X X
修改权限 X
删除特征表 X

文件 ACL

能力 无权限 CAN READ CAN RUN CAN EDIT CAN MANAGE
读取文件 x x x x
注释 x x x x
附加和分离文件 x x x
以交互方式运行文件 x x x
编辑文件 x x
修改权限 x

文件夹 ACL

能力 无权限 可读取 可编辑 可运行 可管理
列出文件夹中的对象 x x x x x
查看文件夹中的对象 x x x x
克隆和导出项 x x x
运行文件夹中运行对象 x x
创建、导入和删除项 x
移动和重命名项 x
修改权限 x

Genie 空间 ACL

能力 无权限 可查看/可运行 可编辑 CAN MANAGE
在 Genie 空间列表中查看 x x x x
向 Genie 提问 x x x
提供回复反馈 x x x
添加或编辑 Genie 指令 x x
添加或编辑示例问题 x x
添加或删除包含的表 x x
监视空间 x
修改权限 x
删除空间 x
查看其他用户的对话 x

Git 文件夹 ACL

能力 无权限 CAN READ CAN RUN CAN EDIT CAN MANAGE
列出文件夹中的资产 x x x x x
查看文件夹中的资产 x x x x
克隆和导出资产 x x x x
在文件夹中运行可执行资产 x x x
编辑和重命名文件夹中的资产 x x
在文件夹中创建分支 x
拉取分支或将分支推送到文件夹中 x
创建、导入、删除和移动资产 x
修改权限 x

作业 ACL

能力 无权限 可查看 可管理运行 是所有者 可管理
查看作业详细信息及设置 x x x x
查看结果 x x x x
查看 Spark UI,作业运行的日志 x x x
立即运行 x x x
取消运行 x x x
编辑作业设置 x x
删除作业 x x
修改权限 x x

MLflow 试验 ACL

能力 无权限 可读取 可编辑 可管理
查看运行信息、搜索、比较运行 x x x
查看、列出和下载运行项目 x x x
创建、删除和还原运行 x x
记录运行参数、指标、标记 x x
记录运行项目 x x
编辑试验标记 x x
清除运行和试验 x
修改权限 x

MLflow 模型 ACL

此表描述了如何控制对未为 Unity Catalog 启用的工作区中的注册模型的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限

能力 无权限 可读取 可编辑 可管理暂存版本 可管理生产版本 可管理
查看模型详细信息、版本、阶段转换请求、活动以及项目下载 URI x x x x x
请求模型版本阶段转换 x x x x x
向模型添加版本 x x x x
更新模型和版本说明 x x x x
添加或编辑标签 x x x x
在阶段之间转换模型版本 x x x
批准转换请求 x x x
取消转换请求 x
重命名模型 x
修改权限 x
删除模型和模型版本 x

笔记本 ACL

能力 无权限 CAN READ CAN RUN CAN EDIT 可管理
查看单元 x x x x
注释 x x x x
通过 %run 或笔记本工作流来运行 x x x x
附加和分离笔记本 x x x
运行命令 x x x
编辑单元 x x
修改权限 x

池 ACL

能力 无权限 可附加到 可管理
将群集附加到池 x x
删除池 x
编辑池 x
修改权限 x

查询 ACL

能力 无权限 可查看 可运行 CAN EDIT 可管理
查看自己的查询 x x x x
在查询列表中查看 x x x x
查看查询文本 x x x x
查看查询结果 x x x x
刷新查询结果(或选择其他参数) x x x
在仪表板中包含查询 x x x
编辑查询文本 x x
更改 SQL 仓库或数据源 x
修改权限 x
删除查询 x

机密 ACL

能力 READ WRITE 管理
读取机密范围 x x x
列出保管库中的机密 x x x
写入机密范围 x x
修改权限 x

服务终结点 ACL

能力 无权限 可查看 可查询 可管理
获取终结点 x x x
列出终结点 x x x
查询终结点 x x
更新终结点配置 x
删除终结点 x
修改权限 x

SQL 仓库 ACL

能力 无权限 可使用 CAN MONITOR 是所有者 可管理
启动仓库 x x x x
查看仓库详细信息 x x x x
查看仓库查询 x x x
查看仓库的监视选项卡 x x x
停止仓库 x x
删除仓库 x x
编辑仓库 x x
修改权限 x x