Listas de controle de acesso
Esta página descreve detalhes sobre as permissões disponíveis para os diferentes objetos workspace .
Visão geral das listas de controle de acesso
Em Databricks, é possível usar listas de controle de acesso (ACLs) para configurar a permissão de acesso a objetos de nível workspace. Os administradores do espaço de trabalho têm a permissão CAN MANAGE em todos os objetos de seu workspace, o que lhes dá a capacidade de gerenciar permissões em todos os objetos de seu espaço de trabalho. Os usuários têm automaticamente a permissão CAN MANAGE para os objetos que criam.
Para obter um exemplo de como mapear personas típicas para permissões de nível workspace, consulte a Proposta para começar com grupos e permissões Databricks.
Gerenciar listas de controle de acesso com pastas
O senhor pode gerenciar as permissões do objeto workspace adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tenha a permissão CAN RUN em uma pasta tem a permissão CAN RUN no alerta dessa pasta.
Se o senhor conceder a um usuário acesso a um objeto dentro da pasta, ele poderá view o nome da pasta principal, mesmo que não tenha permissões na pasta principal. Por exemplo, um Notebook chamado test1.py está em uma pasta chamada Workflows. Se o senhor conceder a um usuário a permissão CAN VIEW em test1.py e nenhuma permissão em Workflows, o usuário poderá ver que a pasta pai se chama Workflows. O usuário não pode acessar view ou qualquer outro objeto na pasta Workflows, a menos que tenha recebido permissões para isso.
Para saber mais sobre como organizar objetos em pastas, consulte o navegador do espaço de trabalho.
alerta ACLs
Função | No Permissions | Pode executar | Can Manage (Pode gerenciar) |
|---|---|---|---|
Ver na lista de alerta | ✓ | ✓ | |
ver alerta e resultado | ✓ | ✓ | |
Acionar manualmente a execução do alerta | ✓ | ✓ | |
Inscrever-se para receber notificações | ✓ | ✓ | |
Editar alerta | ✓ | ||
Modificar permissões | ✓ | ||
Excluir alerta | ✓ |
computar ACLs
Em recursos compute que usam o modo de acesso legado Sem isolamento compartilhado , usuários com permissões CAN ATTACH TO podem view a account de serviço digite no arquivo log4j. Tenha cuidado ao conceder essa permissão. Para mais detalhes sobre esse modo e como restringi-lo, consulte O que são clusters compartilhados sem isolamento?.
Função | No Permissions | Can Attach To (Pode anexar a) | Can Restart (Pode reiniciar) | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
Anexar o notebook ao compute | ✓ | ✓ | ✓ | |
Ver interface do usuário do Spark | ✓ | ✓ | ✓ | |
Visualizar métricas do compute | ✓ | ✓ | ✓ | |
Encerrar compute | ✓ | ✓ | ||
começar e reiniciar compute | ✓ | ✓ | ||
Exibir logs dos drivers | ||||
Editar compute | ✓ | |||
Anexar a biblioteca ao compute | ✓ | |||
Redimensionar compute | ✓ | |||
Modificar permissões | ✓ |
Os segredos não são removidos da transmissão de um cluster Spark driver log stdout e stderr. Para proteger dados confidenciais, os drivers default, Spark e logs podem ser visualizados apenas por usuários com permissão CAN MANAGE em Job, modo de acesso dedicado e clustering de modo de acesso padrão. Para permitir que os usuários com permissão CAN ATTACH TO ou CAN RESTART acessem view e logs nesses clusters, defina a seguinte propriedade de configuração Spark na configuração do clustering: spark.databricks.acl.needAdminPermissionToViewLogs false.
No modo de acesso compartilhado sem isolamento, o driver Spark logs pode ser visualizado por usuários com permissão CAN ATTACH TO, CAN RESTART ou CAN MANAGE. Para restringir o acesso ao arquivo logs apenas aos usuários com permissão CAN MANAGE, defina spark.databricks.acl.needAdminPermissionToViewLogs como true.
Consulte Spark configuration para saber como adicionar propriedades de Spark a uma configuração de clustering.
ACLs do painel
Função | No Permissions | CAN VIEW/CAN RUN | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
Visualizar painel de controle, resultados e conjunto de dados | ✓ | ✓ | ✓ | |
Interaja com widgets | ✓ | ✓ | ✓ | |
Atualizar o painel | ✓ | ✓ | ✓ | |
Editar dashboard | ✓ | ✓ | ||
Painel de clonagem | ✓ | ✓ | ✓ | |
Publicar Snapshot do painel | ✓ | ✓ | ||
Modificar permissões | ✓ | |||
Excluir painel | ✓ |
ACLs de painéis legados
Função | No Permissions | Pode ver | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Veja na lista do painel | ✓ | ✓ | ✓ | ✓ | |
visualizar painel de controle e resultados | ✓ | ✓ | ✓ | ✓ | |
Atualizar os resultados da consulta no painel (ou escolher parâmetros diferentes) | ✓ | ✓ | ✓ | ||
Editar dashboard | ✓ | ✓ | |||
Modificar permissões | ✓ | ||||
Excluir painel | ✓ |
A edição de um painel legado requer a configuração de execução como compartilhamento de visualizador. Consulte comportamento de atualização e contexto de execução.
ACLs de pipeline declarativoLakeFlow Spark
Função | No Permissions | Pode ver | Pode executar | Can Manage (Pode gerenciar) | É o proprietário |
|---|---|---|---|---|---|
Veja os detalhes e a lista do site pipeline pipeline | ✓ | ✓ | ✓ | ✓ | |
Veja Spark UI e driver logs | ✓ | ✓ | ✓ | ✓ | |
começar e interromper uma atualização do site pipeline | ✓ | ✓ | ✓ | ||
Interromper diretamente o clustering do pipeline | ✓ | ✓ | ✓ | ||
Editar definições do pipeline | ✓ | ✓ | |||
Excluir o pipeline | ✓ | ✓ | |||
Purgar execução e experimentos | ✓ | ✓ | |||
Modificar permissões | ✓ | ✓ |
tabelas de recurso ACLs
Esta tabela descreve como controlar o acesso a tabelas de recursos no espaço de trabalho que não estão habilitadas para Unity Catalog. Se o seu workspace estiver habilitado para Unity Catalog, use os privilégios doUnity Catalog.
- O controle de acesso do recurso Store não rege o acesso à Delta tabela subjacente, que é regida pelo controle de acesso da tabela.
- Para obter mais informações sobre as permissões da tabela de recursos do site workspace, consulte Controlar o acesso às tabelas de recursos no espaço de trabalho Recurso Store (legado).
Função | CAN VIEW METADATA | CAN EDIT METADATA | Can Manage (Pode gerenciar) |
|---|---|---|---|
Ler tabela de recursos | ✓ | ✓ | ✓ |
Pesquisar tabela de recursos | ✓ | ✓ | ✓ |
Gravar recurso na tabela de recursos | ✓ | ✓ | |
Atualizar a descrição da tabela de recursos | ✓ | ✓ | |
Modificar permissões | ✓ | ||
Excluir tabela de recursos | ✓ |
ACLs de arquivos
Função | No Permissions | Pode ver | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Ler arquivo | ✓ | ✓ | ✓ | ✓ | |
Comentário | ✓ | ✓ | ✓ | ✓ | |
Anexar e desanexar arquivo | ✓ | ✓ | ✓ | ||
executar arquivo interativamente | ✓ | ✓ | ✓ | ||
Editar arquivo | ✓ | ✓ | |||
Modificar permissões | ✓ |
A interface do usuário workspace se refere ao acesso somente viewcomo CAN VIEW, enquanto o Permissions API usa CAN READ para representar o mesmo nível de acesso.
ACLs de pastas
Função | No Permissions | Pode ver | Pode editar | Pode executar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Listar objetos na pasta | ✓ | ✓ | ✓ | ✓ | ✓ |
Exibir objetos na pasta | ✓ | ✓ | ✓ | ✓ | |
Clonar e exportar itens | ✓ | ✓ | ✓ | ||
objetos de execução na pasta | ✓ | ✓ | |||
Crie, importe e exclua itens | ✓ | ||||
Mover e renomear itens | ✓ | ||||
Modificar permissões | ✓ |
A interface do usuário workspace se refere ao acesso somente viewcomo CAN VIEW, enquanto o Permissions API usa CAN READ para representar o mesmo nível de acesso.
ACLs espaciais do Genie
Função | No Permissions | CAN VIEW/CAN RUN | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
Ver na lista de espaços do Genie | ✓ | ✓ | ✓ | |
Faça perguntas ao Genie | ✓ | ✓ | ✓ | |
Forneça feedback de resposta | ✓ | ✓ | ✓ | |
Adicionar ou editar instruções do Genie | ✓ | ✓ | ||
Adicione ou edite exemplos de perguntas | ✓ | ✓ | ||
Adicionar ou remover tabelas incluídas | ✓ | ✓ | ||
Monitore um espaço | ✓ | |||
Modificar permissões | ✓ | |||
Excluir espaço | ✓ | |||
visualizar as conversas de outros usuários | ✓ |
ACLs de pastas do Git
Função | No Permissions | Pode ler | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Listar ativo em uma pasta | ✓ | ✓ | ✓ | ✓ | ✓ |
visualizar o ativo em uma pasta | ✓ | ✓ | ✓ | ✓ | |
Clonar e exportar ativo | ✓ | ✓ | ✓ | ✓ | |
execução executável ativo na pasta | ✓ | ✓ | ✓ | ||
Editar e renomear ativos em uma pasta | ✓ | ✓ | |||
Crie uma ramificação em uma pasta | ✓ | ||||
Trocar ramificações em uma pasta | ✓ | ||||
Puxe ou empurre uma ramificação para dentro de uma pasta | ✓ | ||||
Criar, importar, excluir e mover o ativo | ✓ | ||||
Modificar permissões | ✓ |
Job ACLs
Função | No Permissions | Pode ver | Pode gerenciar a execução | É o proprietário | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Ver detalhes e configurações do trabalho | ✓ | ✓ | ✓ | ✓ | |
ver resultados | ✓ | ✓ | ✓ | ✓ | |
view Spark UI, logs of a Job execução | ✓ | ✓ | ✓ | ||
Executar agora | ✓ | ✓ | ✓ | ||
Cancelar execução | ✓ | ✓ | ✓ | ||
Editar configurações de trabalho | ✓ | ✓ | |||
Excluir job | ✓ | ✓ | |||
Modificar permissões | ✓ | ✓ |
- O criador de um trabalho tem a permissão IS OWNER por default.
- Um job não pode ter mais de um proprietário.
- Não é possível atribuir a um grupo a permissão É proprietário como proprietário.
- Os trabalhos acionados por meio da execução Now assumem as permissões do proprietário do trabalho e não do usuário que emitiu a execução Now .
- O controle de acesso a trabalhos se aplica ao trabalho exibido na interface de usuário LakeFlow Jobs e à sua execução. Não se aplica a:
-
Notebook fluxo de trabalho que execução modular ou código vinculado. Eles usam as permissões do próprio Notebook. Se o Notebook vier de Git, uma nova cópia será criada e seus arquivos herdarão as permissões do usuário que acionou a execução.
-
Trabalhos enviados pela API. Eles usam as permissões default do Notebook, a menos que o senhor defina explicitamente
access_control_listna solicitação API.
-
ACLs de experimentos do MLflow
MLflow As ACLs de experimentos são diferentes para os experimentos em Notebook e para os experimentos em workspace. Notebook Os experimentos não podem ser gerenciados independentemente do Notebook que os criou, portanto, as permissões são semelhantes às permissões do Notebook.
Para saber mais sobre os dois tipos de experimentos, consulte Organize treinamento execution with MLflow experiments.
ACLs para experimentos em notebooks
A alteração dessas permissões também modifica as permissões no Notebook que corresponde ao experimento.
Função | No Permissions | Pode ler | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
Ver Notebook | ✓ | ✓ | ✓ | ✓ | |
Comentário sobre o Notebook | ✓ | ✓ | ✓ | ✓ | |
Anexar/anexar o Notebook ao compute | ✓ | ✓ | ✓ | ||
execução comando no Notebook | ✓ | ✓ | ✓ | ||
Editar Notebook | ✓ | ✓ | |||
Modificar permissões | ✓ |
ACLs para experimentos em workspace
Função | No Permissions | Pode ler | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
ver experimento | ✓ | ✓ | ✓ | |
execução do registro para o experimento | ✓ | ✓ | ||
Edite o experimento | ✓ | ✓ | ||
Excluir o experimento | ✓ | |||
Modificar permissões | ✓ |
ACLs do modelo MLflow
Esta tabela descreve como controlar o acesso a modelos registrados no espaço de trabalho que não estão habilitados para Unity Catalog. Se o seu workspace estiver habilitado para Unity Catalog, use os privilégios doUnity Catalog.
Função | No Permissions | Pode ler | Pode editar | CAN MANAGE STAGING VERSIONS | CAN MANAGE PRODUCTION VERSIONS | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|---|
visualizar detalhes do modelo, versões, solicitações de transição de estágio, atividades e artefatos download URIs | ✓ | ✓ | ✓ | ✓ | ✓ | |
Solicitar uma versão do modelo de transição de estágio | ✓ | ✓ | ✓ | ✓ | ✓ | |
Adicionar uma versão a um modelo | ✓ | ✓ | ✓ | ✓ | ||
Atualize a descrição do modelo e da versão | ✓ | ✓ | ✓ | ✓ | ||
Adicionar ou editar tags | ✓ | ✓ | ✓ | ✓ | ||
Versão do modelo de transição entre estágios | ✓ | ✓ | ✓ | |||
Aprovar uma solicitação de transição | ✓ | ✓ | ✓ | |||
Cancelar uma solicitação de transição | ✓ | |||||
Renomear modelo | ✓ | |||||
Modificar permissões | ✓ | |||||
Excluir modelo e versões do modelo | ✓ |
Notebook ACLs
Função | No Permissions | Pode ver | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
visualizar células | ✓ | ✓ | ✓ | ✓ | |
Comentário | ✓ | ✓ | ✓ | ✓ | |
execução usando %run ou Notebook fluxo de trabalho | ✓ | ✓ | ✓ | ✓ | |
Anexar e desanexar o Notebook | ✓ | ✓ | ✓ | ||
execução comando | ✓ | ✓ | ✓ | ||
Editar células | ✓ | ✓ | |||
Modificar permissões | ✓ |
A interface do usuário workspace se refere ao acesso somente viewcomo CAN VIEW, enquanto o Permissions API usa CAN READ para representar o mesmo nível de acesso.
ACLs de pool
Função | No Permissions | Can Attach To (Pode anexar a) | Can Manage (Pode gerenciar) |
|---|---|---|---|
Anexar o clustering ao pool | ✓ | ✓ | |
Excluir pool | ✓ | ||
Editar pool | ✓ | ||
Modificar permissões | ✓ |
ACLs de consulta
Função | No Permissions | Pode ver | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
visualizar as próprias consultas | ✓ | ✓ | ✓ | ✓ | |
Veja na lista de consultas | ✓ | ✓ | ✓ | ✓ | |
visualizar o texto da consulta | ✓ | ✓ | ✓ | ✓ | |
visualizar o resultado da consulta | ✓ | ✓ | ✓ | ✓ | |
Atualizar o resultado da consulta (ou escolher parâmetros diferentes) | ✓ | ✓ | ✓ | ||
Incluir a consulta em um painel | ✓ | ✓ | ✓ | ||
Alterar SQL warehouse ou fonte de dados | ✓ | ✓ | ✓ | ||
Editar texto da consulta | ✓ | ✓ | |||
Modificar permissões | ✓ | ||||
Excluir consulta | ✓ |
ACLs de consulta do editor SQL legado
Função | No Permissions | Pode ver | Pode executar | Pode editar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|
visualizar as próprias consultas | ✓ | ✓ | ✓ | ✓ | |
Veja na lista de consultas | ✓ | ✓ | ✓ | ✓ | |
visualizar o texto da consulta | ✓ | ✓ | ✓ | ✓ | |
visualizar o resultado da consulta | ✓ | ✓ | ✓ | ✓ | |
Atualizar o resultado da consulta (ou escolher parâmetros diferentes) | ✓ | ✓ | ✓ | ||
Incluir a consulta em um painel | ✓ | ✓ | ✓ | ||
Editar texto da consulta | ✓ | ✓ | |||
Alterar SQL warehouse ou fonte de dados | ✓ | ||||
Modificar permissões | ✓ | ||||
Excluir consulta | ✓ |
ACLs secretas
Função | Ler | Gravar | gerenciar |
|---|---|---|---|
Leia o escopo secreto | ✓ | ✓ | ✓ |
Listar segredos no escopo | ✓ | ✓ | ✓ |
Escreva para o escopo secreto | ✓ | ✓ | |
Modificar permissões | ✓ |
Servindo endpoint ACLs
Função | No Permissions | Pode ver | CAN QUERY | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
Obter endpoint | ✓ | ✓ | ✓ | |
Lista endpoint | ✓ | ✓ | ✓ | |
Endpoint da query | ✓ | ✓ | ||
Atualizar a configuração do endpoint | ✓ | |||
Excluir endpoint | ✓ | |||
Modificar permissões | ✓ |
SQL warehouse ACLs
Função | No Permissions | Pode ver | PODE MONITORAR | Pode usar | É o proprietário | Can Manage (Pode gerenciar) |
|---|---|---|---|---|---|---|
começar o armazém | ✓ | ✓ | ✓ | ✓ | ||
ver detalhes do depósito | ✓ | ✓ | ✓ | ✓ | ✓ | |
Consultas de visualização do depósito | ✓ | ✓ | ✓ | ✓ | ||
execução de consultas | ✓ | ✓ | ✓ | ✓ | ||
view warehouse monitoramento tab | ✓ | ✓ | ✓ | ✓ | ||
Pare o armazém | ✓ | ✓ | ||||
Excluir o depósito | ✓ | ✓ | ||||
Edite o depósito | ✓ | ✓ | ||||
Modificar permissões | ✓ | ✓ |
Pesquisa vetorial endpoint ACLs
Função | No Permissions | PODE CRIAR | Pode usar | Can Manage (Pode gerenciar) |
|---|---|---|---|---|
Obter endpoint | ✓ | ✓ | ✓ | |
Ponto de extremidade da lista | ✓ | ✓ | ✓ | |
Criar endpoint | ✓ | ✓ | ✓ | |
Usar endpoint (criar índice) | ✓ | ✓ | ||
Excluir endpoint | ✓ | |||
Modificar permissões | ✓ |