アクセス制御リスト
この記事では、さまざまなワークスペース オブジェクトで使用できるアクセス許可について詳しく説明します。
アクセス制御には、Premium プラン以上が必要です。
アクセス制御設定は、Standard プランから Premium プラン以上にアップグレードされたワークスペースでは、デフォルトによって無効になります。 アクセス制御設定を一度有効にすると、無効にすることはできません。 詳細については、「 アップグレードされたワークスペースでアクセス制御リストを有効にできる」を参照してください。
アクセス制御リストの概要
Databricks では、アクセス制御リスト (ACL) を使用して、ワークスペース レベルのオブジェクトにアクセスするためのアクセス許可を構成できます。 ワークスペース管理者は、ワークスペース内のすべてのオブジェクトに対する CAN MANAGE 権限を持っているため、ワークスペース内のすべてのオブジェクトに対する権限を管理できます。 ユーザーは、作成したオブジェクトに対する CAN MANAGE 権限を自動的に持ちます。
一般的なペルソナをワークスペース レベルのアクセス許可にマップする方法の例については、「 Databricks グループとアクセス許可の概要に関する提案」を参照してください。
フォルダによるアクセス制御リストの管理
ワークスペース オブジェクトのアクセス許可は、オブジェクトをフォルダーに追加することで管理できます。 フォルダ内のオブジェクトは、そのフォルダのすべての権限設定を継承します。 たとえば、フォルダに対する CAN RUN 権限を持つユーザーは、そのフォルダ内のアラートに対する CAN RUN 権限を持っています。
フォルダ内のオブジェクトへのアクセス権をユーザーに付与すると、親フォルダに対する権限がなくても、親フォルダの名前を表示できます。 たとえば、 test1.py という名前のノートブックが Workflowsという名前のフォルダーにあるとします。 ユーザーに test1.py CAN READ を付与し、 Workflowsに対する権限がない場合、親フォルダの名前が Workflowsであることを確認できます。 ユーザーは、 Workflows フォルダ内の他のオブジェクトに対する権限が付与されていない限り、そのオブジェクトを表示したりアクセスしたりすることはできません。
オブジェクトをフォルダに整理する方法については、 ワークスペースブラウザを参照してください。
AI/BI dashboard ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW/CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|
ダッシュボードと結果の表示 | x | x | x | |
ウィジェットの操作 | x | x | x | |
ダッシュボードを更新する | x | x | x | |
ダッシュボードを編集 | x | x | ||
ダッシュボードのクローン作成 | x | x | x | |
ダッシュボードのスナップショットの公開 | x | x | ||
権限を変更する | x | |||
ダッシュボードを削除 | x |
アラート ACL
許可される操作(X) | NO PERMISSIONS | CAN RUN | CAN MANAGE |
|---|---|---|---|
アラートリストを参照 | x | x | |
アラートと結果の表示 | x | x | |
アラート実行を手動でトリガーする | x | x | |
通知を購読する | x | x | |
アラートを編集する | x | ||
権限を変更する | x | ||
アラートを削除 | x |
コンピュート ACL
Can Attach To権限を持つユーザーは、サービス アカウントを表示できます log4j ファイル内のキー。このアクセス許可レベルを付与する場合は注意してください。
許可される操作(X) | NO PERMISSIONS | Can Attach To | Can Restart | CAN MANAGE |
|---|---|---|---|---|
コンピュートへのノートブックのアタッチ | x | x | x | |
Spark UIを閲覧する | x | x | x | |
コンピュートメトリクスの表示 | x | x | x | |
コンピュートを終了 | x | x | ||
コンピュートを起動して再起動します | x | x | ||
ドライバーログを閲覧する | x (注を参照) | |||
コンピュートを編集 | x | |||
コンピュートへのライブラリのアタッチ | x | |||
コンピュートのリサイズ | x | |||
権限を変更する | x |
シークレット は、クラスターの Spark ドライバーのログstdoutとstderrストリームから編集されません。 機密データを保護するために、by Default では、 Spark ドライバー ログは、ジョブ、専用アクセス モード、および標準アクセス モード クラスターに対する CAN MANAGE 権限を持つユーザーのみが表示できます。 Can Attach To または Can Restart の権限を持つユーザーがこれらのクラスターのログを表示できるようにするには、クラスター構成で Spark 構成プロパティ (spark.databricks.acl.needAdminPermissionToViewLogs false) を設定します。
分離なしの共有アクセス モード クラスターでは、CAN ATTACH TOまたはCAN MANAGEアクセス許可を持つユーザーが ドライバーSparkログを表示できます。ログを読み取ることができるユーザーを CAN MANAGE 権限を持つユーザーのみに制限するには、 spark.databricks.acl.needAdminPermissionToViewLogs を trueに設定します。
クラスター構成にSparkプロパティを追加する方法については、Spark構成を参照してください。
従来のダッシュボード ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
ダッシュボードのリストで見る | x | x | x | x | |
ダッシュボードと結果の表示 | x | x | x | x | |
ダッシュボードでクエリ結果を更新する (または別のパラメーターを選択する) | x | x | x | ||
ダッシュボードを編集 | x | x | |||
権限を変更する | x | ||||
ダッシュボードを削除 | x |
従来のダッシュボードを編集するには、[ 閲覧者として実行 ] 共有設定が必要です。 更新動作と実行コンテキストを参照してください。
DLT パイプライン ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN RUN | CAN MANAGE | IS OWNER |
|---|---|---|---|---|---|
パイプラインの詳細を表示し、パイプラインを一覧表示します | x | x | x | x | |
Spark UI とドライバーのログを表示する | x | x | x | x | |
パイプラインの更新を開始および停止する | x | x | x | ||
パイプライン クラスターを直接停止 | x | x | x | ||
パイプライン設定を編集 | x | x | |||
パイプラインを削除する | x | x | |||
ランとエクスペリメントのパージ | x | x | |||
権限を変更する | x | x |
特徴量テーブル ACL
この表は、 Unity Catalogが有効になっていないワークスペース内の特徴量テーブルへのアクセスを制御する方法を示しています。 ワークスペースで Unity Catalog が有効になっている場合は、代わりに Unity Catalog の特権 を使用してください。
- Feature Storeのアクセス制御は、テーブルアクセスコントロール によって管理されるベースになるDeltaテーブルへのアクセスを制御しません。
- ワークスペース 特徴量テーブルのアクセス許可の詳細については、「 ワークスペース Feature Store (レガシ) の特徴量テーブルへのアクセスを制御する」を参照してください。
許可される操作(X) | CAN VIEW METADATA | CAN EDIT METADATA | CAN MANAGE |
|---|---|---|---|
特徴量テーブルの読み取り | X | X | X |
特徴量テーブルの検索 | X | X | X |
特徴量テーブルをオンラインストアに発行する | X | X | X |
特徴量テーブルへの特徴量の書き込み | X | X | |
特徴量テーブルの説明を更新する | X | X | |
権限を変更する | X | ||
特徴量テーブルの削除 | X |
ファイル ACL
許可される操作(X) | NO PERMISSIONS | CAN READ | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
ファイルの読み取り | x | x | x | x | |
コメントをつける | x | x | x | x | |
ファイルのアタッチとデタッチ | x | x | x | ||
ファイルを対話形式で実行 | x | x | x | ||
ファイルの編集 | x | x | |||
権限を変更する | x |
フォルダ ACL
許可される操作(X) | NO PERMISSIONS | CAN READ | CAN EDIT | CAN RUN | CAN MANAGE |
|---|---|---|---|---|---|
フォルダ内のオブジェクトを一覧表示する | x | x | x | x | x |
フォルダ内のオブジェクトの表示 | x | x | x | x | |
アイテムのクローン作成とエクスポート | x | x | x | ||
フォルダ内のオブジェクトの実行 | x | x | |||
アイテムの作成、インポート、削除 | x | ||||
アイテムの移動と名前の変更 | x | ||||
権限を変更する | x |
Genieスペース ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW/CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|
Genieスペースリストを参照してください | x | x | x | x |
Genieに質問する | x | x | x | |
応答フィードバックの提供 | x | x | x | |
Genieへの指示を追加または編集する | x | x | ||
サンプルの質問を追加または編集する | x | x | ||
含まれるテーブルを追加または削除する | x | x | ||
スペースの監視 | x | |||
権限を変更する | x | |||
スペースの削除 | x | |||
他のユーザーの会話を見る | x | x |
Git フォルダの ACL
許可される操作(X) | NO PERMISSIONS | CAN READ | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
フォルダー内のアセットの一覧表示 | x | x | x | x | x |
フォルダ内のアセットを表示する | x | x | x | x | |
アセットのクローン作成とエクスポート | x | x | x | x | |
フォルダ内の実行可能アセットを実行する | x | x | x | ||
フォルダー内のアセットの編集と名前変更 | x | x | |||
フォルダーにブランチを作成する | x | ||||
フォルダ内の分岐を切り替える | x | ||||
フォルダへの分岐のプルまたはプッシュ | x | ||||
アセットの作成、インポート、削除、移動 | x | ||||
権限を変更する | x |
ジョブ ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN MANAGE RUN | IS OWNER | CAN MANAGE |
|---|---|---|---|---|---|
ジョブの詳細と設定を表示する | x | x | x | x | |
結果を見る | x | x | x | x | |
Spark UI の表示、ジョブ実行のログ | x | x | x | ||
今すぐ実行 | x | x | x | ||
ランをキャンセル | x | x | x | ||
ジョブ設定の編集 | x | x | |||
ジョブを削除 | x | x | |||
権限を変更する | x | x |
MLflow エクスペリメント ACL
MLflow エクスペリメント ACL は、ノートブック エクスペリメントとワークスペース エクスペリメントで異なります。 ノートブック エクスペリメントは、それを作成したノートブックから独立して管理することはできないため、アクセス許可はノートブックのアクセス許可と似ています。 2 種類のエクスペリメントの詳細については、「 MLflow エクスペリメントを使用してトレーニング 実行を整理する」を参照してください。
ノートブック エクスペリメントのACL
これらの権限を変更すると、エクスペリメントに対応するノートブックの権限も変更されます。
許可される操作(X) | NO PERMISSIONS | CAN READ | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
ノートブックを見る | x | x | x | x | |
ノートブックへのコメント | x | x | x | x | |
コンピュートへのノートブックのアタッチ/デタッチ | x | x | x | ||
ノートブックでコマンドを実行する | x | x | x | ||
ノートブックの編集 | x | x | |||
権限を変更する | x |
ワークスペース エクスペリメントのACL
許可される操作(X) | NO PERMISSIONS | CAN READ | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|
エクスペリメントを見る | x | x | x | |
エクスペリメントへのログ実行 | x | x | ||
エクスペリメントの編集 | x | x | ||
エクスペリメントを削除する | x | |||
権限を変更する | x |
MLflow モデルの ACL
次の表では、Unity Catalog が有効になっていないワークスペース内の登録済みモデルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合は、代わりに Unity Catalog の特権 を使用してください。
許可される操作(X) | NO PERMISSIONS | CAN READ | CAN EDIT | CAN MANAGE STAGING VERSIONS | CAN MANAGE PRODUCTION VERSIONS | CAN MANAGE |
|---|---|---|---|---|---|---|
モデルの詳細、バージョン、ステージの移行リクエスト、アクティビティ、アーティファクトのダウンロードURIを表示する | x | x | x | x | x | |
モデルバージョンのステージの移行リクエスト | x | x | x | x | x | |
モデルへのバージョンの追加 | x | x | x | x | ||
モデル、バージョンの説明の更新 | x | x | x | x | ||
タグを追加または編集する | x | x | x | x | ||
ステージ間でのモデルバージョンの遷移 | x | x | x | |||
移行リクエストを承認します | x | x | x | |||
トランジションリクエストをキャンセルする | x | |||||
モデル名の変更 | x | |||||
権限を変更する | x | |||||
モデル、モデルバージョンの削除 | x |
ノートブック ACL
許可される操作(X) | NO PERMISSIONS | CAN READ | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
セルの表示 | x | x | x | x | |
コメントをつける | x | x | x | x | |
%runあるいはノートブック ワークフローを用いた実行 | x | x | x | x | |
ノートブックのアタッチとデタッチ | x | x | x | ||
コマンドの実行 | x | x | x | ||
セルの編集 | x | x | |||
権限を変更する | x |
プール ACL
許可される操作(X) | NO PERMISSIONS | Can Attach To | CAN MANAGE |
|---|---|---|---|
クラスターをプールにアタッチ | x | x | |
プールの削除 | x | ||
プールの編集 | x | ||
権限を変更する | x |
クエリ ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
自分のクエリを表示する | x | x | x | x | |
クエリリストで見てください | x | x | x | x | |
クエリ テキストの表示 | x | x | x | x | |
クエリ結果の表示 | x | x | x | x | |
クエリ結果を更新する (または別のパラメーターを選択する) | x | x | x | ||
クエリをダッシュボードに含める | x | x | x | ||
クエリテキストの編集 | x | x | |||
SQLウェアハウスまたはデータソースの変更 | x | ||||
権限を変更する | x | ||||
クエリの削除 | x |
シークレット ACL
許可される操作(X) | READ | WRITE | MANAGE |
|---|---|---|---|
シークレットスコープの読み取り | x | x | x |
スコープ内のシークレットを一覧表示する | x | x | x |
シークレットスコープへの書き込み | x | x | |
権限を変更する | x |
エンドポイント ACL の提供
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN QUERY | CAN MANAGE |
|---|---|---|---|---|
エンドポイントを取得する | x | x | x | |
エンドポイントを一覧表示する | x | x | x | |
エンドポイントのクエリー | x | x | ||
エンドポイント設定の更新 | x | |||
エンドポイントを削除 | x | |||
権限を変更する | x |
SQLウェアハウス ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN MONITOR | CAN USE | IS OWNER | CAN MANAGE |
|---|---|---|---|---|---|---|
ウェアハウスの開始 | x | x | x | x | ||
ウェアハウスの詳細を表示 | x | x | x | x | x | |
ウェアハウス クエリの表示 | x | x | x | x | ||
クエリの実行 | x | x | x | x | ||
ウェアハウス監視タブの表示 | x | x | x | x | ||
ウェアハウスを停止する | x | x | ||||
ウェアハウスの削除 | x | x | ||||
ウェアハウスの編集 | x | x | ||||
権限を変更する | x | x |
CAN VIEW 権限は パブリック プレビュー段階です。
ベクトル検索エンドポイント ACL
許可される操作(X) | NO PERMISSIONS | 作成できる | CAN USE | CAN MANAGE |
|---|---|---|---|---|
エンドポイントを取得する | x | x | x | |
エンドポイントの一覧表示 | x | x | x | |
エンドポイントを作成 | x | x | x | |
エンドポイントの使用(インデックスの作成) | x | x | ||
エンドポイントを削除 | x | |||
権限を変更する | x |