アクセス制御リスト

この記事では、さまざまなワークスペース オブジェクトで使用できる権限について詳しく説明します。

注:

アクセス制御には、Premium プラン以上が必要です。

スタンダード プランからプレミアム プラン以上にアップグレードされたワークスペースでは、アクセス制御設定はデフォルトで無効になっています。 アクセス制御設定は、一度有効にすると無効にできません。 詳細については、 「アップグレードされたワークスペースでアクセス制御リストを有効にできる」を参照してください。

アクセス制御リストの概要

Databricks では、アクセス制御リスト (ACL) を使用して、ワークスペース レベルのオブジェクトにアクセスするためのアクセス許可を構成できます。 ワークスペース管理者は、ワークスペース内のすべてのオブジェクトに対するCAN MANAGE権限を持ち、ワークスペース内のすべてのオブジェクトに対する権限を管理することができます。 ユーザーには、自分が作成したオブジェクトに対する CAN MANAGE 権限が自動的に付与されます。

一般的なペルソナをワークスペース レベルのアクセス許可にマップする方法の例については、 「Databricks グループとアクセス許可の使用開始の提案」を参照してください。

フォルダでアクセス制御リストを管理する

ワークスペース オブジェクトのアクセス許可は、オブジェクトをフォルダーに追加することで管理できます。 フォルダ内のオブジェクトは、そのフォルダのすべての権限設定を継承します。 たとえば、フォルダに対する CAN RUN 権限を持つユーザーは、そのフォルダ内のアラートに対する CAN RUN 権限を持っています。

フォルダ内のオブジェクトへのアクセス権をユーザーに付与すると、親フォルダに対する権限がなくても、親フォルダの名前を表示できます。 たとえば、 test1.py という名前のノートブックが Workflowsという名前のフォルダーにあるとします。 ユーザーに test1.py CAN READ を付与し、 Workflowsに対する権限がない場合、親フォルダの名前が Workflowsであることを確認できます。 ユーザーは、 Workflows フォルダ内の他のオブジェクトに対する権限が付与されていない限り、そのオブジェクトを表示したりアクセスしたりすることはできません。

オブジェクトをフォルダに整理する方法については、 ワークスペースブラウザを参照してください。

AI/BIダッシュボードACL

許可される操作(X)

NO PERMISSIONS

CAN VIEW/CAN RUN

CAN EDIT

CAN MANAGE

ダッシュボードと結果を表示する

x

x

x

ウィジェットの操作

x

x

x

ダッシュボードを更新する

x

x

x

ダッシュボードを編集

x

x

ダッシュボードのクローン作成

x

x

x

ダッシュボードのスナップショットを公開する

x

x

権限を変更する

x

ダッシュボードを削除

x

アラート ACL

許可される操作(X)

NO PERMISSIONS

CAN RUN

CAN MANAGE

アラートリストで見る

x

x

アラートと結果を表示

x

x

アラートを手動で実行する

x

x

通知をサブスクライブする

x

x

アラートを編集する

x

権限を変更する

x

アラートを削除

x

コンピュート ACL

重要

Can Attach To権限を持つユーザーは、log4j ファイル内のサービス アカウント キーを表示できます。 このアクセス許可レベルを付与する場合は注意してください。

許可される操作(X)

NO PERMISSIONS

Can Attach To

Can Restart

CAN MANAGE

ノートブックをコンピュートに添付する

x

x

x

Spark UIを閲覧する

x

x

x

コンピュート メトリクスを見る

x

x

x

コンピュートを終了する

x

x

コンピュートの起動と再起動

x

x

ドライバーログを閲覧する

x (注を参照)

コンピュートを編集

x

ライブラリをコンピュートにアタッチする

x

サイズ変更コンピュート

x

権限を変更する

x

注:

シークレット は、クラスターの Spark ドライバーのログ stdout および stderr ストリームから編集されません。 機密データを保護するために、デフォルトでは、Spark ドライバーのログは、ジョブ、シングルユーザーアクセスモード、および共有アクセスモードクラスターに対する CAN MANAGE 権限を持つユーザーのみが表示できます。 Can Attach To または Can Restart のアクセス許可を持つユーザーがこれらのクラスターのログを表示できるようにするには、クラスター構成で Spark 構成プロパティ (spark.databricks.acl.needAdminPermissionToViewLogs false) を設定します。

分離なしの共有アクセス モード クラスターでは、Spark Can Attach Toまたは 権限を持つユーザーが ドライバーCAN MANAGE ログを表示できます。ログを読み取ることができるユーザーを CAN MANAGE 権限を持つユーザーのみに制限するには、 spark.databricks.acl.needAdminPermissionToViewLogstrueに設定します。

クラスター構成に Spark プロパティを追加する方法については、 「Spark 構成」を参照してください。

レガシーダッシュボードACL

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN RUN

CAN EDIT

CAN MANAGE

ダッシュボード リストで見る

x

x

x

x

ダッシュボードと結果を表示する

x

x

x

x

ダッシュボードでクエリ結果を更新します (または別の を選択してください)

x

x

x

ダッシュボードを編集

x

x

権限を変更する

x

ダッシュボードを削除

x

レガシーダッシュボードを編集するには、 「閲覧者として実行」共有設定が必要です。 「更新動作と実行コンテキスト」を参照してください。

Delta Live Tables パイプライン ACL

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN RUN

CAN MANAGE

IS OWNER

パイプラインの詳細と一覧を表示する

x

x

x

x

Spark UI とドライバーのログを表示する

x

x

x

x

パイプラインの更新を開始および停止する

x

x

x

パイプラインクラスターを直接停止する

x

x

x

パイプライン設定を編集

x

x

パイプラインを削除する

x

x

ランとエクスペリメントのパージ

x

x

権限を変更する

x

x

特徴表 ACL

この表では、 Unity Catalogで有効になっていないワークスペース内の特徴テーブルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合は、代わりにUnity Catalog 権限を使用します。

注:

許可される操作(X)

CAN VIEW METADATA

CAN EDIT METADATA

CAN MANAGE

特徴量テーブルの読み取り

X

X

X

特徴量テーブルの検索

X

X

X

特徴量テーブルをオンラインストアに発行する

X

X

X

特徴量テーブルへの特徴量の書き込み

X

X

特徴量テーブルの説明を更新する

X

X

権限を変更する

X

特徴量テーブルの削除

X

ファイル ACL

許可される操作(X)

NO PERMISSIONS

CAN READ

CAN RUN

CAN EDIT

CAN MANAGE

ファイルの読み取り

x

x

x

x

コメントをつける

x

x

x

x

ファイルの添付とデタッチ

x

x

x

ファイルを対話的に実行する

x

x

x

ファイルの編集

x

x

権限を変更する

x

フォルダ ACL

許可される操作(X)

NO PERMISSIONS

CAN READ

CAN EDIT

CAN RUN

CAN MANAGE

フォルダ内のオブジェクトを一覧表示する

x

x

x

x

x

フォルダ内のオブジェクトを表示する

x

x

x

x

アイテムのクローン作成とエクスポート

x

x

x

フォルダ内のオブジェクトを実行する

x

x

アイテムの作成、インポート、削除

x

アイテムの移動と名前変更

x

権限を変更する

x

Genieスペース ACL

許可される操作(X)

NO PERMISSIONS

CAN VIEW/CAN RUN

CAN EDIT

CAN MANAGE

Genieスペースリストで見る

x

x

x

x

Genieに質問する

x

x

x

応答フィードバックを提供する

x

x

x

Genieへの指示を追加または編集する

x

x

サンプルの質問を追加または編集する

x

x

含まれるテーブルを追加または削除する

x

x

スペースを監視する

x

権限を変更する

x

スペースの削除

x

他のユーザーの会話を表示する

x

Git フォルダ ACL

許可される操作(X)

NO PERMISSIONS

CAN READ

CAN RUN

CAN EDIT

CAN MANAGE

フォルダー内のアセットを一覧表示する

x

x

x

x

x

フォルダー内のアセットの表示

x

x

x

x

アセットのクローン作成とエクスポート

x

x

x

x

フォルダ内の実行可能アセットを実行する

x

x

x

フォルダー内のアセットの編集と名前変更

x

x

フォルダーにブランチを作成する

x

フォルダへの分岐のプルまたはプッシュ

x

資産の作成、インポート、削除、移動

x

権限を変更する

x

ジョブ ACL

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN MANAGE RUN

IS OWNER

CAN MANAGE

ジョブの詳細と設定を表示する

x

x

x

x

結果の表示

x

x

x

x

Spark UI、ジョブ実行のログを表示する

x

x

x

今すぐ実行

x

x

x

ランをキャンセル

x

x

x

ジョブ設定の編集

x

x

ジョブを削除

x

x

権限を変更する

x

x

MLflowエクスペリメントACL

許可される操作(X)

NO PERMISSIONS

CAN READ

CAN EDIT

CAN MANAGE

ラン情報の表示 ランの検索と比較

x

x

x

ランアーティファクトの表示、リスト、ダウンロード

x

x

x

ランの作成、削除、復元

x

x

ランパラメータ、メトリクス、タグの記録

x

x

ランアーティファクトの記録

x

x

エクスペリメントタグの編集

x

x

ランとエクスペリメントのパージ

x

権限を変更する

x

MLflow モデル ACL

この表では、Unity Catalog が有効になっていないワークスペース内の登録済みモデルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合は、代わりにUnity Catalog 権限を使用します。

許可される操作(X)

NO PERMISSIONS

CAN READ

CAN EDIT

CAN MANAGE STAGING VERSIONS

CAN MANAGE PRODUCTION VERSIONS

CAN MANAGE

モデルの詳細、バージョン、ステージの移行リクエスト、アクティビティ、アーティファクトのダウンロード URI を表示します

x

x

x

x

x

モデルバージョンステージの移行をリクエストする

x

x

x

x

x

モデルにバージョンを追加する

x

x

x

x

モデル、バージョンの説明の更新

x

x

x

x

タグを追加または編集する

x

x

x

x

ステージ間でのモデルバージョンの遷移

x

x

x

移行リクエストを承認する

x

x

x

移行リクエストをキャンセルする

x

モデル名の変更

x

権限を変更する

x

モデル、モデルバージョンの削除

x

ノートブック ACL

許可される操作(X)

NO PERMISSIONS

CAN READ

CAN RUN

CAN EDIT

CAN MANAGE

セルの表示

x

x

x

x

コメントをつける

x

x

x

x

%run またはノートブックワークフロー経由で実行

x

x

x

x

ノートブックのアタッチとデタッチ

x

x

x

コマンドを実行する

x

x

x

セルを編集する

x

x

権限を変更する

x

プール ACL

許可される操作(X)

NO PERMISSIONS

Can Attach To

CAN MANAGE

クラスターをプールに接続する

x

x

プールを削除

x

プールを編集

x

権限を変更する

x

ACL のクエリ

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN RUN

CAN EDIT

CAN MANAGE

独自のクエリを表示する

x

x

x

x

クエリ一覧で見る

x

x

x

x

クエリ テキストを表示する

x

x

x

x

クエリ結果の表示

x

x

x

x

クエリ結果を更新します (または別のクエリを選択してください)

x

x

x

クエリをダッシュボードに含める

x

x

x

クエリ テキストの編集

x

x

SQLウェアハウスまたはデータソースを変更する

x

権限を変更する

x

クエリの削除

x

シークレット ACL

許可される操作(X)

READ

WRITE

MANAGE

シークレットスコープを読む

x

x

x

スコープ内のシークレットを一覧表示する

x

x

x

シークレットスコープに書き込む

x

x

権限を変更する

x

エンドポイント ACL の提供

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN QUERY

CAN MANAGE

エンドポイントを取得する

x

x

x

エンドポイントを一覧表示する

x

x

x

エンドポイントのクエリー

x

x

エンドポイント設定の更新

x

エンドポイントを削除

x

権限を変更する

x

SQLウェアハウス ACL

許可される操作(X)

NO PERMISSIONS

CAN USE

CANモニター

IS OWNER

CAN MANAGE

ウェアハウスの開始

x

x

x

x

ウェアハウスの詳細を見る

x

x

x

x

ウェアハウスのクエリを表示

x

x

x

クエリの実行

x

x

x

x

ウェアハウス監視タブの表示

x

x

x

ウェアハウスを停止する

x

x

ウェアハウスを削除する

x

x

ウェアハウスを編集する

x

x

権限を変更する

x

x

ベクトル検索エンドポイント ACL

許可される操作(X)

NO PERMISSIONS

作成可能

CAN USE

CAN MANAGE

エンドポイントを取得する

x

x

x

エンドポイントの一覧表示

x

x

x

エンドポイントを作成

x

x

x

エンドポイントの使用(インデックスの作成)

x

x

エンドポイントを削除

x

権限を変更する

x