存取控制清單
本文內容
本文說明不同工作區物件可用許可權的詳細數據。
注意
訪問控制需要 進階方案 。
預設會在從標準方案升級至進階方案的工作區上停用訪問控制設定。 啟用訪問控制設定之後,就無法停用。 如需詳細資訊,請參閱 可在升級的 工作區上啟用訪問控制清單。
訪問控制清單概觀
在 Azure Databricks 中,您可以使用存取控制清單 (ACL) 來設定存取工作區層級物件的許可權。 工作區系統管理員在其工作區中的所有物件上都有 CAN MANAGE 許可權,這可讓他們管理工作區中所有對象的許可權。 用戶會自動為其建立的對象擁有 CAN MANAGE 許可權。
如需如何將一般角色對應至工作區層級許可權的範例,請參閱 開始使用 Databricks 群組和許可權 的建議。
使用資料夾管理存取控制清單
您可以將物件新增至資料夾來管理工作區物件許可權。 資料夾中的物件會繼承該資料夾的所有許可權設定。 例如,具有資料夾之 CAN RUN 許可權的使用者,在該資料夾中的警示上具有 CAN RUN 許可權。 若要瞭解如何將對象組織成資料夾,請參閱 工作區瀏覽器 。
AI/BI 儀錶板 ACL
能力
沒有許可權
可以檢視/可以執行
可以編輯
可以管理
檢視儀錶板和結果
x
x
x
與小工具互動
x
x
x
重新整理儀錶板
x
x
x
編輯儀表板
x
x
複製儀錶板
x
x
x
發佈儀錶板快照集
x
x
修改權限
x
刪除儀表板
x
警示 ACL
能力
沒有許可權
可以執行
可以管理
請參閱警示清單中的
x
x
檢視警示和結果
x
x
手動觸發警示執行
x
x
訂閱通知
x
x
編輯警示
x
修改權限
x
刪除警示
x
計算 ACL
重要
具有 CAN ATTACH TO 許可權的使用者可以在 log4j 檔案中檢視服務帳戶密鑰。 授與此許可權等級時請小心。
能力
沒有許可權
可以附加至
可以重新啟動
可以管理
將筆記本附加至計算
x
x
x
檢視 Spark UI
x
x
x
檢視計算計量
x
x
x
終止計算
x
x
啟動和重新啟動計算
x
x
檢視驅動程序記錄
x (請參閱附註)
編輯計算
x
將連結庫附加至計算
x
調整計算大小
x
修改權限
x
注意
秘密不會從叢集的 Spark 驅動程式記錄stdout
和stderr
數據流中修訂。 為了保護敏感數據,根據預設,Spark 驅動程式記錄只能由具有作業上 CAN MANAGE 許可權、單一使用者存取模式和共用存取模式叢集的用戶檢視。 若要允許具有 CAN ATTACH TO 或 CAN RESTART 許可權的使用者檢視這些叢集上的記錄,請在叢集設定中設定下列 Spark 組態屬性: spark.databricks.acl.needAdminPermissionToViewLogs false
。
在「無隔離共用存取模式叢集」上,Spark 驅動程式記錄可由具有 CAN ATTACH TO 或 CAN MANAGE 權限的使用者檢視。 若要將誰只能讀取記錄檔給具有 CAN MANAGE 權限的使用者,請將 設定 spark.databricks.acl.needAdminPermissionToViewLogs
為 true
。
請參閱 Spark 組態 ,以了解如何將 Spark 屬性新增至叢集組態。
舊版儀錶板 ACL
能力
沒有許可權
可檢視
可以執行
可以編輯
可以管理
請參閱儀錶板清單中的
x
x
x
x
檢視儀錶板和結果
x
x
x
x
重新整理儀表板中的查詢結果(或選擇不同的參數)
x
x
x
編輯儀表板
x
x
修改權限
x
刪除儀表板
x
編輯舊版儀錶板需要執行 身分查看器 共用設定。 請參閱 重新整理行為和執行內容 。
Delta Live Tables ACL
能力
沒有許可權
可檢視
可以執行
可以管理
IS OWNER
檢視管線詳細數據和清單管線
x
x
x
x
檢視 Spark UI 和驅動程式記錄
x
x
x
x
啟動和停止管線更新
x
x
x
直接停止管線叢集
x
x
x
編輯管線設定
x
x
刪除管線
x
x
清除執行和實驗
x
x
修改權限
x
x
功能數據表 ACL
下表描述如何控制未針對 Unity 目錄啟用之工作區中功能數據表的存取。 如果您的工作區已啟用 Unity 目錄,請改用 Unity 目錄許可權 。
能力
可以檢視元數據
可以編輯元數據
可以管理
讀取功能數據表
X
X
X
搜尋功能數據表
X
X
X
將功能數據表發佈至在線商店
X
X
X
將功能寫入功能數據表
X
X
更新功能數據表的描述
X
X
修改權限
X
刪除功能數據表
X
檔案 ACL
能力
沒有許可權
可讀取
可以執行
可以編輯
可以管理
讀取檔案
x
x
x
x
註解
x
x
x
x
附加和卸離檔案
x
x
x
以互動方式執行檔案
x
x
x
編輯檔案
x
x
修改權限
x
資料夾 ACL
能力
沒有許可權
可讀取
可以編輯
可以執行
可以管理
列出資料夾中的物件
x
x
x
x
x
檢視資料夾中的物件
x
x
x
x
複製和匯出專案
x
x
x
在資料夾中執行物件
x
x
建立、匯入和刪除專案
x
移動和重新命名專案
x
修改權限
x
Genie 空間 ACL
能力
沒有許可權
可以執行
可以編輯
可以管理
請參閱 Genie 空間清單中的
x
x
x
詢問 Genie 問題
x
x
x
提供回應意見反應
x
x
x
新增或編輯 Genie 指示
x
x
新增或編輯範例問題
x
x
新增或移除包含的數據表
x
x
監視空間
x
x
共用空間
x
x
刪除空間
x
Git 資料夾 ACL
能力
沒有許可權
可讀取
可以執行
可以編輯
可以管理
列出資料夾中的資產
x
x
x
x
x
檢視資料夾中的資產
x
x
x
x
複製和匯出資產
x
x
x
x
在資料夾中執行可執行的資產
x
x
x
編輯和重新命名資料夾中的資產
x
x
在資料夾中建立分支
x
將分支提取或推送至資料夾
x
建立、匯入、刪除和移動資產
x
修改權限
x
作業 ACL
能力
沒有許可權
可檢視
可以管理執行
IS OWNER
可以管理
檢視作業詳細數據和設定
x
x
x
x
檢視結果
x
x
x
x
檢視 Spark UI,作業執行的記錄
x
x
x
立即執行
x
x
x
取消執行
x
x
x
編輯作業設定
x
x
刪除作業
x
x
修改權限
x
x
MLflow 實驗 ACL
能力
沒有許可權
可讀取
可以編輯
可以管理
檢視執行資訊搜尋比較回合
x
x
x
檢視、列出及下載執行成品
x
x
x
建立、刪除和還原執行
x
x
記錄執行參數、計量、標記
x
x
記錄執行成品
x
x
編輯實驗標籤
x
x
清除執行和實驗
x
修改權限
x
MLflow 模型 ACL
下表描述如何在未針對 Unity 目錄啟用的工作區中控制已註冊模型的存取。 如果您的工作區已啟用 Unity 目錄,請改用 Unity 目錄許可權 。
能力
沒有許可權
可讀取
可以編輯
可以管理預備版本
可以管理生產版本
可以管理
檢視模型詳細數據、版本、階段轉換要求、活動和成品下載 URI
x
x
x
x
x
要求模型版本階段轉換
x
x
x
x
x
將版本新增至模型
x
x
x
x
更新模型和版本描述
x
x
x
x
新增或編輯標籤
x
x
x
x
階段之間的轉換模型版本
x
x
x
核准轉換要求
x
x
x
取消轉換要求
x
重新命名模型
x
修改權限
x
刪除模型和模型版本
x
筆記本 ACL
能力
沒有許可權
可讀取
可以執行
可以編輯
可以管理
檢視資料格
x
x
x
x
註解
x
x
x
x
透過 %run 或筆記本工作流程執行
x
x
x
x
附加和中斷鏈接筆記本
x
x
x
執行命令
x
x
x
編輯儲存格
x
x
修改權限
x
集區 ACL
能力
沒有許可權
可以附加至
可以管理
將叢集附加至集區
x
x
刪除集區
x
編輯集區
x
修改權限
x
查詢 ACL
能力
沒有許可權
可檢視
可以執行
可以編輯
可以管理
檢視自己的查詢
x
x
x
x
請參閱查詢清單中的
x
x
x
x
檢視查詢文字
x
x
x
x
檢視查詢結果
x
x
x
x
重新整理查詢結果(或選擇不同的參數)
x
x
x
在儀錶板中包含查詢
x
x
x
編輯查詢文字
x
x
變更 SQL 倉儲或數據源
x
修改權限
x
刪除查詢
x
秘密 ACL
能力
READ
WRITE
管理
讀取秘密範圍
x
x
x
列出範圍中的秘密
x
x
x
寫入秘密範圍
x
x
修改權限
x
提供端點 ACL
能力
沒有許可權
可檢視
CAN QUERY
可以管理
取得端點
x
x
x
列出端點
x
x
x
查詢端點
x
x
更新端點設定
x
刪除端點
x
修改權限
x
SQL 倉儲 ACL
能力
沒有許可權
可以使用
CAN MONITOR
IS OWNER
可以管理
啟動倉儲
x
x
x
x
檢視倉儲詳細數據
x
x
x
x
檢視倉儲查詢
x
x
x
檢視倉儲監視索引標籤
x
x
x
停止倉儲
x
x
刪除倉儲
x
x
編輯倉儲
x
x
修改權限
x
x