共用方式為

存取控制清單

本頁說明不同工作區物件可用權限的詳細資料。

Note

存取控制需要進階方案

預設會在從標準方案升級至進階方案的工作區上停用存取控制設定。 啟用存取控制設定之後,就無法停用。 如需詳細資訊,請參閱您可以在升級的工作區上啟用存取控制清單

存取控制清單概觀

在 Azure Databricks 中,您可以使用存取控制清單 (ACL) 來設定存取工作區層級物件的權限。 工作區管理員對其工作區中的所有物件上都具有 [可管理] 權限,這讓他們能夠管理工作區中所有物件的權限。 使用者會自動對其建立的物件擁有 [可管理] 權限。

如需如何將典型角色對應至工作區層級權限的範例,請參閱開始使用 Databricks 群組和權限的提案

使用資料夾管理存取控制清單

您可以透過將物件新增至資料夾,來管理工作區物件權限。 資料夾中的物件會繼承該資料夾的權限設定。 例如,擁有 CAN RUN 權限的資料夾使用者,對該資料夾中的警示也具有 CAN RUN 權限。

如果您將資料夾內物件的存取權授予使用者,即使他們沒有父資料夾的許可權,也可以檢視父資料夾的名稱。 例如,名為 test1.py 的筆記本位於名為 Workflows 的資料夾。 如果您授用戶對test1.py CAN VIEW的權限,而對Workflows沒有任何權限,那麼該用戶可以看到父資料夾的名稱為Workflows。 除非使用者已獲授與權限,否則無法檢視或存取 Workflows 資料夾中的任何其他物件。

若要了解如何將物件組織成資料夾,請參閱工作區瀏覽器

警示 ACL

Ability 沒有權限 可以運行 可以管理
在警示清單中查看 x x
檢視警示和結果 x x
手動觸發警報運行 x x
訂閱通知 x x
編輯警示 x
修改權限 x
刪除警示 x

計算 ACL

Important

在使用舊版存取模式 No isolation shared 的運算資源上,具有 CAN ATTACH TO 權限的使用者可以檢視 log4j 檔案中的服務帳戶金鑰。 授與此權限時請小心。 如需此模式以及如何限制它的詳細資訊,請參閱 什麼是無隔離共用叢集?

Ability 沒有權限 可連結至 可重新啟動 可以管理
將筆記本連結至計算 x x x
檢視 Spark UI x x x
檢視計算度量 x x x
終止計算 x x
啟動和重新啟動計算 x x
檢視驅動程式記錄 x (請參閱附註)
編輯計算程序 x
將程式庫連結至計算 x
調整計算大小 x
修改權限 x

Note

秘密 不會從叢集的 Spark 驅動程式記錄 stdoutstderr 數據流中修訂。 為了保護敏感數據,根據預設,Spark 驅動程式記錄只能由具有作業的 CAN MANAGE 許可權、專用存取模式和標準存取模式叢集的用戶檢視。 若要允許具有 CAN ATTACH TO 或 CAN RESTART 許可權的使用者檢視這些叢集上的記錄,請在叢集組態中設定下列 Spark 組態屬性:spark.databricks.acl.needAdminPermissionToViewLogs false

在無隔離共用存取模式叢集上,具有 CAN ATTACH TO、CAN RESTART 或 CAN MANAGE 許可權的使用者可以檢視 Spark 驅動程式記錄。 若要限制讀取記錄的對象只有那些具有 CAN MANAGE 權限的使用者,請將 spark.databricks.acl.needAdminPermissionToViewLogs 設定為 true

請參閱 Spark 組態,以了解如何將 Spark 屬性新增至叢集組態。

儀表板訪問控制列表 (ACL)

Ability 沒有權限 可檢視/可執行 可編輯 可以管理
查看儀表板、結果與資料集 x x x
與小工具互動 x x x
重新整理儀錶板 x x x
編輯儀表板 x x
複製儀表板 x x x
發佈儀表板快照 x x
修改權限 x
刪除儀表板 x

舊版儀表板存取控制列表 (ACL)

Ability 沒有權限 可以查看 可以運行 可編輯 可以管理
在儀錶板清單中查看 x x x x
檢視儀表板和結果 x x x x
重新整理儀表板中的查詢結果(或選擇不同的參數) x x x
編輯儀表板 x x
修改權限 x
刪除儀表板 x

編輯舊版儀表板需要「以檢視人員身分執行」的共用設定。 請參閱 重新整理行為和執行內容

資料庫實例 ACL

Ability 沒有權限 可以創建 可使用 可以管理
取得資料庫執行個體 x x x
列出資料庫實例 x x x
建立資料庫實例 x x x
建立同步表 x x
建立 Unity Catalog 資料庫目錄 x
修改 Postgres 角色 x
刪除資料庫實例 x
修改權限 x
暫停資料庫實例 x
重啟資料庫實例 x

Note

  • 所有工作區使用者都會自動繼承 CAN CREATE 權限。 此權限無法被授予或移除。
  • 執行與 Unity 目錄互動的作業時,您需要具備 Unity Catalog 物件的許可權:
    • 建立 Unity Catalog 資料庫目錄:需要在 Unity Catalog 中繼存放區擁有 CREATE CATALOG
    • 建立同步處理數據表:需要 Unity 目錄許可權才能讀取源數據表、寫入目的地架構,以及寫入管線記憶體架構。

Lakeflow Spark 宣告式管道 ACLs

Ability 沒有權限 可以查看 可以運行 可以管理 是擁有者
檢視管線詳細資訊和列出管線 x x x x
檢視 Spark UI 和驅動程式記錄 x x x x
啟動和停止管線更新 x x x
直接停止管道群组 x x x
編輯管線設定 x x
刪除管線 x x
清除運行和實驗 x x
修改權限 x x

功能數據表 ACL

下表描述了如何在未啟用 Unity Catalog 的工作區中控制功能表的存取。 如果您的工作區已啟用 Unity 目錄,請改用 Unity 目錄許可權

Note

Ability 可檢視中繼資料 可編輯中繼資料 可以管理
讀取特徵表格 X X X
搜尋功能數據表 X X X
將功能數據表發佈至在線商店 X X X
將功能寫入功能數據表 X X
更新功能數據表的描述 X X
修改權限 X
刪除功能數據表 X

檔案 存取控制清單 (ACL)

Ability 沒有權限 可以查看 可以運行 可編輯 可以管理
讀取檔案 x x x x
Comment x x x x
附加和移除檔案 x x x
以互動方式執行檔案 x x x
編輯檔案 x x
修改權限 x

Note

工作區UI將僅檢視存取稱為 CAN VIEW,而許可權 API 則使用 CAN READ 來表示相同層級的存取。

資料夾 ACL (訪問控制列表)

Ability 沒有權限 可以查看 可編輯 可以運行 可以管理
列出資料夾中的物件 x x x x x
檢視資料夾中的物件 x x x x
複製和匯出項目 x x x
執行資料夾中的物件 x x
建立、匯入和刪除項目 x
移動和重新命名項目 x
修改權限 x

Note

工作區UI將僅檢視存取稱為 CAN VIEW,而許可權 API 則使用 CAN READ 來表示相同層級的存取。

Genie 空間存取控制列表

Ability 沒有權限 可檢視/可執行 可編輯 可以管理
在 Genie 空間清單中查看。 x x x
向 Genie 提問 x x x
提供回覆意見 x x x
新增或編輯 Genie 指令 x x
新增或編輯範例問題 x x
新增或移除包含的數據表 x x
監視空間 x
修改權限 x
刪除空間 x
檢視其他用戶的對話 x

Git 資料夾訪問控制列表

Ability 沒有權限 可讀取 可以運行 可編輯 可以管理
列出資料夾中的資產 x x x x x
檢視資料夾中的資產 x x x x
複製和匯出資產 x x x x
執行資料夾中的可執行資產 x x x
編輯和重新命名資料夾中的資產 x x
建立資料夾中的分支 x
切換資料夾中的分支 x
拉取或推送分支到資料夾 x
建立、匯入、刪除和移動資產 x
修改權限 x

工作存取控制清單 (ACL)

Ability 沒有權限 可以查看 能管理運行 是擁有者 可以管理
檢視工作詳細資料和設定 x x x x
檢視結果 x x x x
檢視 Spark UI、工作執行的記錄 x x x
現在就跑 x x x
取消運行 x x x
編輯工作設定 x x
刪除工作 x x
修改權限 x x

Note

  • 作業的建立者預設具有IS OWNER許可權。

  • 一項工作不能有一個以上的擁有者。

  • 無法將「擁有者權限」指派給一個群組作為其擁有者。

  • 透過 [立即執行 ] 觸發的作業會假設作業擁有者的許可權,而不是發出 [ 立即執行] 的使用者。

  • 作業訪問控制適用於 Lakeflow 作業 UI 及其執行中顯示的作業。 它不適用於:

    • 執行模組化或連結程式代碼的筆記本工作流程。 這些會使用筆記本本身的許可權。 如果筆記本來自 Git,則會建立新的複本,且其檔案會繼承觸發執行的用戶許可權。
  • 由 API 提交的作業。 除非您在 API 要求中明確設定 access_control_list ,否則這些會使用筆記本的默認許可權。

:::

MLflow 實驗模型 ACL

MLflow 實驗的 ACL 在筆記本實驗和工作區實驗之間有所不同。 筆記本實驗無法脫離創建它們的筆記本單獨管理,因此其權限類似於筆記本的權限。

若要深入瞭解這兩種類型的實驗,請參閱 使用 MLflow 實驗組織訓練回合

筆記型電腦實驗的訪問控制列表

更改這些權限也會修改實驗相關筆記本的權限。

Ability 沒有權限 可讀取 可以運行 可編輯 可以管理
檢視筆記本 x x x x
筆記本上的批注 x x x x
將筆記本連接/斷開計算設備 x x x
在筆記本中執行命令 x x x
編輯筆記本 x x
修改權限 x

工作區實驗的存取控制清單(ACL)

Ability 沒有權限 可讀取 可編輯 可以管理
查看實驗 x x x
記錄實驗過程中的執行運行 x x
編輯實驗 x x
刪除實驗 x
修改權限 x

MLflow 模組的 ACLs

下表描述如何在未針對 Unity 目錄啟用的工作區中控制已註冊模型的存取。 如果您的工作區已啟用 Unity 目錄,請改用 Unity 目錄許可權

Ability 沒有權限 可讀取 可編輯 可以管理測試版本 可以管理生產版本 可以管理
檢視模型詳細資料、版本、階段轉換要求、活動和成品下載 URI x x x x x
要求模型版本階段轉換 x x x x x
為模型新增一個版本 x x x x
更新模型和版本描述 x x x x
新增或編輯標籤 x x x x
階段之間的轉換模型版本 x x x
核准轉換要求 x x x
取消轉換要求 x
重新命名模型 x
修改權限 x
刪除模型和模型版本 x

筆記本存取控制清單

Ability 沒有權限 可以查看 可以運行 可編輯 可以管理
檢視儲存格 x x x x
Comment x x x x
使用 %run 或筆記本工作流程執行 x x x x
附加和分離筆記型電腦 x x x
執行命令 x x x
編輯儲存格 x x
修改權限 x

Note

工作區UI將僅檢視存取稱為 CAN VIEW,而許可權 API 則使用 CAN READ 來表示相同層級的存取。

集區 ACL

Ability 沒有權限 可連結至 可以管理
將叢集連結至集區 x x
刪除集區 x
編輯資源池 x
修改權限 x

查詢 ACL

Ability 沒有權限 可以查看 可以運行 可編輯 可以管理
檢視自己的查詢 x x x x
請在查詢清單中查看 x x x x
檢視查詢文字 x x x x
檢視查詢結果 x x x x
重新整理查詢結果(或選擇不同的參數) x x x
將查詢包含在儀表板中 x x x
變更 SQL 倉儲或資料來源 x x x
編輯查詢文字 x x
修改權限 x
刪除查詢 x

舊版 SQL 編輯器查詢 ACL

Ability 沒有權限 可以查看 可以運行 可編輯 可以管理
檢視自己的查詢 x x x x
請在查詢清單中查看 x x x x
檢視查詢文字 x x x x
檢視查詢結果 x x x x
重新整理查詢結果(或選擇不同的參數) x x x
將查詢包含在儀表板中 x x x
編輯查詢文字 x x
變更 SQL 倉儲或資料來源 x
修改權限 x
刪除查詢 x

祕密 ACL

Ability READ WRITE MANAGE
讀取祕密範圍 x x x
列出範圍中的秘密 x x x
寫入機密範圍 x x
修改權限 x

服務端點 ACL

Ability 沒有權限 可以查看 可以查詢 可以管理
取得端點 x x x
列出端點 x x x
查詢端點 x x
更新端點設定 x
刪除端點 x
修改權限 x

SQL 倉儲 ACL

Ability 沒有權限 可以查看 可監視 可使用 是擁有者 可以管理
啟動倉儲 x x x x
檢視倉儲詳細資料 x x x x x
檢視倉儲查詢 x x x x
執行查詢 x x x x
檢視倉儲監控頁籤 x x x x
停止倉儲 x x
刪除倉儲 x x
編輯倉儲 x x
修改權限 x x

向量搜尋端點 ACL

Ability 沒有權限 可以創建 可使用 可以管理
取得端點 x x x
列出端點 x x x
建立端點 x x x
使用端點 (建立索引) x x
刪除端點 x
修改權限 x
  • Last updated on