Listas de controle de acesso
Este artigo descreve detalhes sobre as permissões disponíveis para os diferentes objetos do site workspace.
O controle de acesso requer o plano Premium ou acima.
As configurações de controle de acesso são desativadas pelo site default em espaços de trabalho que são atualizados do plano Standard para o plano Premium ou acima. Depois que uma configuração de controle de acesso é ativada, ela não pode ser desativada. Para obter mais informações, consulte As listas de controles de acesso podem ser ativadas no espaço de trabalho atualizado.
Visão geral das listas de controle de acesso
Em Databricks, é possível usar listas de controle de acesso (ACLs) para configurar a permissão de acesso a objetos de nível workspace. Os administradores do espaço de trabalho têm a permissão CAN MANAGE em todos os objetos de seu workspace, o que lhes dá a capacidade de gerenciar permissões em todos os objetos de seu espaço de trabalho. Os usuários têm automaticamente a permissão CAN MANAGE para os objetos que criam.
Para obter um exemplo de como mapear personas típicas para permissões de nível workspace, consulte a Proposta para começar com grupos e permissões Databricks.
Gerenciar listas de controle de acesso com pastas
O senhor pode gerenciar as permissões do objeto workspace adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tenha a permissão CAN RUN em uma pasta tem a permissão CAN RUN no alerta dessa pasta.
Se o senhor conceder a um usuário acesso a um objeto dentro da pasta, ele poderá view o nome da pasta principal, mesmo que não tenha permissões na pasta principal. Por exemplo, um Notebook chamado test1.py está em uma pasta chamada Workflows. Se o senhor conceder a um usuário a permissão CAN READ em test1.py e nenhuma permissão em Workflows, o usuário poderá ver que a pasta pai se chama Workflows. O usuário não pode view nem acessar outros objetos na pasta Workflows, a menos que tenha recebido permissões para eles.
Para saber mais sobre como organizar objetos em pastas, consulte o navegador do espaço de trabalho.
AI/BI dashboard ACLs
Função | No Permissions | CAN VIEW/CAN RUN | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
visualizar painel de controle e resultados | x | x | x | |
Interaja com widgets | x | x | x | |
Atualizar o painel | x | x | x | |
Editar dashboard | x | x | ||
Painel de clonagem | x | x | x | |
Publicar Snapshot do painel | x | x | ||
Modificar permissões | x | |||
Excluir painel | x |
alerta ACLs
Função | No Permissions | Pode executar | Can Manage (Pode gerenciar) |
|---|---|---|---|
Ver na lista de alerta | x | x | |
ver alerta e resultado | x | x | |
Acionar manualmente a execução do alerta | x | x | |
Inscrever-se para receber notificações | x | x | |
Editar alerta | x | ||
Modificar permissões | x | ||
Excluir alerta | x |
computar ACLs
Os usuários com permissões CAN ATTACH TO podem view a chave do serviço account no arquivo log4j. Tenha cuidado ao conceder esse nível de permissão.
Função | No Permissions | Can Attach To (Pode anexar a) | Can Restart (Pode reiniciar) | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
Anexar o notebook ao compute | x | x | x | |
Ver interface do usuário do Spark | x | x | x | |
Visualizar métricas do compute | x | x | x | |
Encerrar compute | x | x | ||
começar e reiniciar compute | x | x | ||
Exibir logs dos drivers | ||||
Editar compute | x | |||
Anexar a biblioteca ao compute | x | |||
Redimensionar compute | x | |||
Modificar permissões | x |
Os segredos não são removidos do driver Spark de um agrupamento log stdout e stderr transmissão. Para proteger dados confidenciais, os drivers default, Spark e logs podem ser visualizados apenas por usuários com permissão CAN MANAGE em Job, modo de acesso dedicado e clustering de modo de acesso padrão. Para permitir que os usuários com permissão CAN ATTACH TO ou CAN RESTART acessem view e logs nesses clusters, defina a seguinte propriedade de configuração Spark na configuração do cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
No clustering de modo de acesso compartilhado sem isolamento, o driver Spark logs pode ser visualizado por usuários com permissão CAN ATTACH TO ou CAN MANAGE. Para limitar quem pode ler o logs a apenas usuários com a permissão CAN MANAGE, defina spark.databricks.acl.needAdminPermissionToViewLogs como true.
Consulte Spark configuration para saber como adicionar propriedades de Spark a uma configuração de clustering.
ACLs de painéis legados
Função | No Permissions | Pode ver | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Veja na lista do painel | x | x | x | x | |
visualizar painel de controle e resultados | x | x | x | x | |
Atualizar os resultados da consulta no painel (ou escolher parâmetros diferentes) | x | x | x | ||
Editar dashboard | x | x | |||
Modificar permissões | x | ||||
Excluir painel | x |
A edição de um painel legado requer a configuração de execução como compartilhamento de visualizador. Consulte comportamento de atualização e contexto de execução.
ACLs de pipeline DLT
Função | No Permissions | Pode ver | Pode executar | Can Manage (Pode gerenciar) | É o proprietário |
|---|---|---|---|---|---|
Veja os detalhes e a lista do site pipeline pipeline | x | x | x | x | |
Veja Spark UI e driver logs | x | x | x | x | |
começar e interromper uma atualização do site pipeline | x | x | x | ||
Interromper diretamente o clustering do pipeline | x | x | x | ||
Editar definições do pipeline | x | x | |||
Excluir o pipeline | x | x | |||
Purgar execução e experimentos | x | x | |||
Modificar permissões | x | x |
tabelas de recurso ACLs
Esta tabela descreve como controlar o acesso a tabelas de recursos no espaço de trabalho que não estão habilitadas para Unity Catalog. Se o seu workspace estiver habilitado para Unity Catalog, use os privilégios doUnity Catalog.
- O controle de acesso do recurso Store não rege o acesso à Delta tabela subjacente, que é regida pelo controle de acesso da tabela.
- Para obter mais informações sobre as permissões da tabela de recursos do site workspace, consulte Controlar o acesso às tabelas de recursos no espaço de trabalho Recurso Store (legado).
Função | CAN VIEW METADATA | CAN EDIT METADATA | Can Manage (Pode gerenciar) |
|---|---|---|---|
Ler tabela de recursos | X | X | X |
Pesquisar tabela de recursos | X | X | X |
Publicar recurso table to armazenamento online | X | X | X |
Gravar recurso na tabela de recursos | X | X | |
Atualizar a descrição da tabela de recursos | X | X | |
Modificar permissões | X | ||
Excluir tabela de recursos | X |
ACLs de arquivos
Função | No Permissions | Pode ler | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Ler arquivo | x | x | x | x | |
Comentário | x | x | x | x | |
Anexar e desanexar arquivo | x | x | x | ||
executar arquivo interativamente | x | x | x | ||
Editar arquivo | x | x | |||
Modificar permissões | x |
ACLs de pastas
Função | No Permissions | Pode ler | Pode editar | Pode executar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Listar objetos na pasta | x | x | x | x | x |
Exibir objetos na pasta | x | x | x | x | |
Clonar e exportar itens | x | x | x | ||
objetos de execução na pasta | x | x | |||
Crie, importe e exclua itens | x | ||||
Mover e renomear itens | x | ||||
Modificar permissões | x |
ACLs espaciais do Genie
Função | No Permissions | CAN VIEW/CAN RUN | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
Ver na lista de espaços do Genie | x | x | x | x |
Faça perguntas ao Genie | x | x | x | |
Forneça feedback de resposta | x | x | x | |
Adicionar ou editar instruções do Genie | x | x | ||
Adicione ou edite exemplos de perguntas | x | x | ||
Adicionar ou remover tabelas incluídas | x | x | ||
Monitore um espaço | x | |||
Modificar permissões | x | |||
Excluir espaço | x | |||
visualizar as conversas de outros usuários | x | x |
ACLs de pastas do Git
Função | No Permissions | Pode ler | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Listar ativo em uma pasta | x | x | x | x | x |
visualizar o ativo em uma pasta | x | x | x | x | |
Clonar e exportar ativo | x | x | x | x | |
execução executável ativo na pasta | x | x | x | ||
Editar e renomear ativos em uma pasta | x | x | |||
Crie uma ramificação em uma pasta | x | ||||
Trocar ramificações em uma pasta | x | ||||
Puxe ou empurre uma ramificação para dentro de uma pasta | x | ||||
Criar, importar, excluir e mover o ativo | x | ||||
Modificar permissões | x |
Job ACLs
Função | No Permissions | Pode ver | Pode gerenciar a execução | É o proprietário | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Ver detalhes e configurações do trabalho | x | x | x | x | |
ver resultados | x | x | x | x | |
view Spark UI, logs of a Job execução | x | x | x | ||
Executar agora | x | x | x | ||
Cancelar execução | x | x | x | ||
Editar configurações de trabalho | x | x | |||
Excluir job | x | x | |||
Modificar permissões | x | x |
ACLs de experimentos do MLflow
MLflow As ACLs de experimentos são diferentes para os experimentos em Notebook e para os experimentos em workspace. Notebook Os experimentos não podem ser gerenciados independentemente do Notebook que os criou, portanto, as permissões são semelhantes às permissões do Notebook. Para saber mais sobre os dois tipos de experimentos, consulte Organize treinamento execution with MLflow experiments.
ACLs para experimentos em notebooks
A alteração dessas permissões também modifica as permissões no Notebook que corresponde ao experimento.
Função | No Permissions | Pode ler | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Ver Notebook | x | x | x | x | |
Comentário sobre o Notebook | x | x | x | x | |
Anexar/anexar o Notebook ao compute | x | x | x | ||
execução comando no Notebook | x | x | x | ||
Editar Notebook | x | x | |||
Modificar permissões | x |
ACLs para experimentos em workspace
Função | No Permissions | Pode ler | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
ver experimento | x | x | x | |
execução do registro para o experimento | x | x | ||
Edite o experimento | x | x | ||
Excluir o experimento | x | |||
Modificar permissões | x |
ACLs do modelo MLflow
Esta tabela descreve como controlar o acesso a modelos registrados no espaço de trabalho que não estão habilitados para Unity Catalog. Se o seu workspace estiver habilitado para Unity Catalog, use os privilégios doUnity Catalog.
Função | No Permissions | Pode ler | Pode editar | CAN MANAGE STAGING VERSIONS | CAN MANAGE PRODUCTION VERSIONS | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|---|
visualizar detalhes do modelo, versões, solicitações de transição de estágio, atividades e artefatos download URIs | x | x | x | x | x | |
Solicitar uma versão do modelo de transição de estágio | x | x | x | x | x | |
Adicionar uma versão a um modelo | x | x | x | x | ||
Atualize a descrição do modelo e da versão | x | x | x | x | ||
Adicionar ou editar tags | x | x | x | x | ||
Versão do modelo de transição entre estágios | x | x | x | |||
Aprovar uma solicitação de transição | x | x | x | |||
Cancelar uma solicitação de transição | x | |||||
Renomear modelo | x | |||||
Modificar permissões | x | |||||
Excluir modelo e versões do modelo | x |
Notebook ACLs
Função | No Permissions | Pode ler | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
visualizar células | x | x | x | x | |
Comentário | x | x | x | x | |
execução usando %run ou Notebook fluxo de trabalho | x | x | x | x | |
Anexar e desanexar o Notebook | x | x | x | ||
execução comando | x | x | x | ||
Editar células | x | x | |||
Modificar permissões | x |
ACLs de pool
Função | No Permissions | Can Attach To (Pode anexar a) | Can Manage (Pode gerenciar) |
|---|---|---|---|
Anexar o clustering ao pool | x | x | |
Excluir pool | x | ||
Editar pool | x | ||
Modificar permissões | x |
ACLs de consulta
Função | No Permissions | Pode ver | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
visualizar as próprias consultas | x | x | x | x | |
Veja na lista de consultas | x | x | x | x | |
visualizar o texto da consulta | x | x | x | x | |
visualizar o resultado da consulta | x | x | x | x | |
Atualizar o resultado da consulta (ou escolher parâmetros diferentes) | x | x | x | ||
Incluir a consulta em um painel | x | x | x | ||
Editar texto da consulta | x | x | |||
Alterar SQL warehouse ou fonte de dados | x | ||||
Modificar permissões | x | ||||
Excluir consulta | x |
ACLs secretas
Função | Ler | Gravar | gerenciar |
|---|---|---|---|
Leia o escopo secreto | x | x | x |
Listar segredos no escopo | x | x | x |
Escreva para o escopo secreto | x | x | |
Modificar permissões | x |
Servindo endpoint ACLs
Função | No Permissions | Pode ver | CAN QUERY | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
Obter endpoint | x | x | x | |
Lista endpoint | x | x | x | |
Endpoint da query | x | x | ||
Atualizar a configuração do endpoint | x | |||
Excluir endpoint | x | |||
Modificar permissões | x |
SQL warehouse ACLs
Função | No Permissions | Pode usar | PODE MONITORAR | É o proprietário | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
começar o armazém | x | x | x | x | |
ver detalhes do depósito | x | x | x | x | |
Consultas de visualização do depósito | x | x | x | ||
execução de consultas | x | x | x | x | |
view warehouse monitoramento tab | x | x | x | ||
Pare o armazém | x | x | |||
Excluir o depósito | x | x | |||
Edite o depósito | x | x | |||
Modificar permissões | x | x |
Pesquisa vetorial endpoint ACLs
Função | No Permissions | PODE CRIAR | Pode usar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
Obter endpoint | x | x | x | |
Ponto de extremidade da lista | x | x | x | |
Criar endpoint | x | x | x | |
Usar endpoint (criar índice) | x | x | ||
Excluir endpoint | x | |||
Modificar permissões | x |