アクセス制御リスト
この記事では、さまざまなワークスペース オブジェクトで使用できる権限について詳しく説明します。
注:
アクセス制御には、Premium プラン以上が必要です。
スタンダード プランからプレミアム プラン以上にアップグレードされたワークスペースでは、アクセス制御設定はデフォルトで無効になっています。 アクセス制御設定は、一度有効にすると無効にできません。 詳細については、 「アップグレードされたワークスペースでアクセス制御リストを有効にできる」を参照してください。
アクセス制御リストの概要
Databricks では、アクセス制御リスト (ACL) を使用して、ワークスペース レベルのオブジェクトにアクセスするためのアクセス許可を構成できます。 ワークスペース管理者は、ワークスペース内のすべてのオブジェクトに対するCAN MANAGE権限を持ち、ワークスペース内のすべてのオブジェクトに対する権限を管理することができます。 ユーザーには、自分が作成したオブジェクトに対する CAN MANAGE 権限が自動的に付与されます。
一般的なペルソナをワークスペース レベルのアクセス許可にマップする方法の例については、 「Databricks グループとアクセス許可の使用開始の提案」を参照してください。
フォルダでアクセス制御リストを管理する
ワークスペース オブジェクトのアクセス許可は、オブジェクトをフォルダーに追加することで管理できます。 フォルダ内のオブジェクトは、そのフォルダのすべての権限設定を継承します。 たとえば、フォルダに対する CAN RUN 権限を持つユーザーは、そのフォルダ内のアラートに対する CAN RUN 権限を持っています。
フォルダ内のオブジェクトへのアクセス権をユーザーに付与すると、親フォルダに対する権限がなくても、親フォルダの名前を表示できます。 たとえば、 test1.py
という名前のノートブックが Workflows
という名前のフォルダーにあるとします。 ユーザーに test1.py
CAN READ を付与し、 Workflows
に対する権限がない場合、親フォルダの名前が Workflows
であることを確認できます。 ユーザーは、 Workflows
フォルダ内の他のオブジェクトに対する権限が付与されていない限り、そのオブジェクトを表示したりアクセスしたりすることはできません。
オブジェクトをフォルダに整理する方法については、 ワークスペースブラウザを参照してください。
AI/BIダッシュボードACL
許可される操作(X) |
NO PERMISSIONS |
CAN VIEW/CAN RUN |
CAN EDIT |
CAN MANAGE |
---|---|---|---|---|
ダッシュボードと結果を表示する |
x |
x |
x |
|
ウィジェットの操作 |
x |
x |
x |
|
ダッシュボードを更新する |
x |
x |
x |
|
ダッシュボードを編集 |
x |
x |
||
ダッシュボードのクローン作成 |
x |
x |
x |
|
ダッシュボードのスナップショットを公開する |
x |
x |
||
権限を変更する |
x |
|||
ダッシュボードを削除 |
x |
アラート ACL
許可される操作(X) |
NO PERMISSIONS |
CAN RUN |
CAN MANAGE |
---|---|---|---|
アラートリストで見る |
x |
x |
|
アラートと結果を表示 |
x |
x |
|
アラートを手動で実行する |
x |
x |
|
通知をサブスクライブする |
x |
x |
|
アラートを編集する |
x |
||
権限を変更する |
x |
||
アラートを削除 |
x |
コンピュート ACL
重要
Can Attach To権限を持つユーザーは、log4j ファイル内のサービス アカウント キーを表示できます。 このアクセス許可レベルを付与する場合は注意してください。
許可される操作(X) |
NO PERMISSIONS |
Can Attach To |
Can Restart |
CAN MANAGE |
---|---|---|---|---|
ノートブックをコンピュートに添付する |
x |
x |
x |
|
Spark UIを閲覧する |
x |
x |
x |
|
コンピュート メトリクスを見る |
x |
x |
x |
|
コンピュートを終了する |
x |
x |
||
コンピュートの起動と再起動 |
x |
x |
||
ドライバーログを閲覧する |
x (注を参照) |
|||
コンピュートを編集 |
x |
|||
ライブラリをコンピュートにアタッチする |
x |
|||
サイズ変更コンピュート |
x |
|||
権限を変更する |
x |
注:
シークレット は、クラスターの Spark ドライバーのログ stdout
および stderr
ストリームから編集されません。 機密データを保護するために、デフォルトでは、Spark ドライバーのログは、ジョブ、シングルユーザーアクセスモード、および共有アクセスモードクラスターに対する CAN MANAGE 権限を持つユーザーのみが表示できます。 Can Attach To または Can Restart のアクセス許可を持つユーザーがこれらのクラスターのログを表示できるようにするには、クラスター構成で Spark 構成プロパティ (spark.databricks.acl.needAdminPermissionToViewLogs false
) を設定します。
分離なしの共有アクセス モード クラスターでは、Spark Can Attach Toまたは 権限を持つユーザーが ドライバーCAN MANAGE ログを表示できます。ログを読み取ることができるユーザーを CAN MANAGE 権限を持つユーザーのみに制限するには、 spark.databricks.acl.needAdminPermissionToViewLogs
をtrue
に設定します。
クラスター構成に Spark プロパティを追加する方法については、 「Spark 構成」を参照してください。
レガシーダッシュボードACL
許可される操作(X) |
NO PERMISSIONS |
CAN VIEW |
CAN RUN |
CAN EDIT |
CAN MANAGE |
---|---|---|---|---|---|
ダッシュボード リストで見る |
x |
x |
x |
x |
|
ダッシュボードと結果を表示する |
x |
x |
x |
x |
|
ダッシュボードでクエリ結果を更新します (または別の を選択してください) |
x |
x |
x |
||
ダッシュボードを編集 |
x |
x |
|||
権限を変更する |
x |
||||
ダッシュボードを削除 |
x |
レガシーダッシュボードを編集するには、 「閲覧者として実行」共有設定が必要です。 「更新動作と実行コンテキスト」を参照してください。
Delta Live Tables パイプライン ACL
許可される操作(X) |
NO PERMISSIONS |
CAN VIEW |
CAN RUN |
CAN MANAGE |
IS OWNER |
---|---|---|---|---|---|
パイプラインの詳細と一覧を表示する |
x |
x |
x |
x |
|
Spark UI とドライバーのログを表示する |
x |
x |
x |
x |
|
パイプラインの更新を開始および停止する |
x |
x |
x |
||
パイプラインクラスターを直接停止する |
x |
x |
x |
||
パイプライン設定を編集 |
x |
x |
|||
パイプラインを削除する |
x |
x |
|||
ランとエクスペリメントのパージ |
x |
x |
|||
権限を変更する |
x |
x |
特徴表 ACL
この表では、 Unity Catalogで有効になっていないワークスペース内の特徴テーブルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合は、代わりにUnity Catalog 権限を使用します。
注:
Feature Store アクセス制御では、 テーブル アクセス制御 によって管理される Delta テーブル へのアクセスは制御されません。
ワークスペース 特徴量テーブルのアクセス許可の詳細については、「 ワークスペース Feature Store (レガシ) の特徴量テーブルへのアクセスを制御する」を参照してください。
許可される操作(X) |
CAN VIEW METADATA |
CAN EDIT METADATA |
CAN MANAGE |
---|---|---|---|
特徴量テーブルの読み取り |
X |
X |
X |
特徴量テーブルの検索 |
X |
X |
X |
特徴量テーブルをオンラインストアに発行する |
X |
X |
X |
特徴量テーブルへの特徴量の書き込み |
X |
X |
|
特徴量テーブルの説明を更新する |
X |
X |
|
権限を変更する |
X |
||
特徴量テーブルの削除 |
X |
ファイル ACL
許可される操作(X) |
NO PERMISSIONS |
CAN READ |
CAN RUN |
CAN EDIT |
CAN MANAGE |
---|---|---|---|---|---|
ファイルの読み取り |
x |
x |
x |
x |
|
コメントをつける |
x |
x |
x |
x |
|
ファイルの添付とデタッチ |
x |
x |
x |
||
ファイルを対話的に実行する |
x |
x |
x |
||
ファイルの編集 |
x |
x |
|||
権限を変更する |
x |
フォルダ ACL
許可される操作(X) |
NO PERMISSIONS |
CAN READ |
CAN EDIT |
CAN RUN |
CAN MANAGE |
---|---|---|---|---|---|
フォルダ内のオブジェクトを一覧表示する |
x |
x |
x |
x |
x |
フォルダ内のオブジェクトを表示する |
x |
x |
x |
x |
|
アイテムのクローン作成とエクスポート |
x |
x |
x |
||
フォルダ内のオブジェクトを実行する |
x |
x |
|||
アイテムの作成、インポート、削除 |
x |
||||
アイテムの移動と名前変更 |
x |
||||
権限を変更する |
x |
Genieスペース ACL
許可される操作(X) |
NO PERMISSIONS |
CAN VIEW/CAN RUN |
CAN EDIT |
CAN MANAGE |
---|---|---|---|---|
Genieスペースリストで見る |
x |
x |
x |
x |
Genieに質問する |
x |
x |
x |
|
応答フィードバックを提供する |
x |
x |
x |
|
Genieへの指示を追加または編集する |
x |
x |
||
サンプルの質問を追加または編集する |
x |
x |
||
含まれるテーブルを追加または削除する |
x |
x |
||
スペースを監視する |
x |
|||
権限を変更する |
x |
|||
スペースの削除 |
x |
|||
他のユーザーの会話を表示する |
x |
Git フォルダ ACL
許可される操作(X) |
NO PERMISSIONS |
CAN READ |
CAN RUN |
CAN EDIT |
CAN MANAGE |
---|---|---|---|---|---|
フォルダー内のアセットを一覧表示する |
x |
x |
x |
x |
x |
フォルダー内のアセットの表示 |
x |
x |
x |
x |
|
アセットのクローン作成とエクスポート |
x |
x |
x |
x |
|
フォルダ内の実行可能アセットを実行する |
x |
x |
x |
||
フォルダー内のアセットの編集と名前変更 |
x |
x |
|||
フォルダーにブランチを作成する |
x |
||||
フォルダへの分岐のプルまたはプッシュ |
x |
||||
資産の作成、インポート、削除、移動 |
x |
||||
権限を変更する |
x |
ジョブ ACL
許可される操作(X) |
NO PERMISSIONS |
CAN VIEW |
CAN MANAGE RUN |
IS OWNER |
CAN MANAGE |
---|---|---|---|---|---|
ジョブの詳細と設定を表示する |
x |
x |
x |
x |
|
結果の表示 |
x |
x |
x |
x |
|
Spark UI、ジョブ実行のログを表示する |
x |
x |
x |
||
今すぐ実行 |
x |
x |
x |
||
ランをキャンセル |
x |
x |
x |
||
ジョブ設定の編集 |
x |
x |
|||
ジョブを削除 |
x |
x |
|||
権限を変更する |
x |
x |
MLflowエクスペリメントACL
許可される操作(X) |
NO PERMISSIONS |
CAN READ |
CAN EDIT |
CAN MANAGE |
---|---|---|---|---|
ラン情報の表示 ランの検索と比較 |
x |
x |
x |
|
ランアーティファクトの表示、リスト、ダウンロード |
x |
x |
x |
|
ランの作成、削除、復元 |
x |
x |
||
ランパラメータ、メトリクス、タグの記録 |
x |
x |
||
ランアーティファクトの記録 |
x |
x |
||
エクスペリメントタグの編集 |
x |
x |
||
ランとエクスペリメントのパージ |
x |
|||
権限を変更する |
x |
MLflow モデル ACL
この表では、Unity Catalog が有効になっていないワークスペース内の登録済みモデルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合は、代わりにUnity Catalog 権限を使用します。
許可される操作(X) |
NO PERMISSIONS |
CAN READ |
CAN EDIT |
CAN MANAGE STAGING VERSIONS |
CAN MANAGE PRODUCTION VERSIONS |
CAN MANAGE |
---|---|---|---|---|---|---|
モデルの詳細、バージョン、ステージの移行リクエスト、アクティビティ、アーティファクトのダウンロード URI を表示します |
x |
x |
x |
x |
x |
|
モデルバージョンステージの移行をリクエストする |
x |
x |
x |
x |
x |
|
モデルにバージョンを追加する |
x |
x |
x |
x |
||
モデル、バージョンの説明の更新 |
x |
x |
x |
x |
||
タグを追加または編集する |
x |
x |
x |
x |
||
ステージ間でのモデルバージョンの遷移 |
x |
x |
x |
|||
移行リクエストを承認する |
x |
x |
x |
|||
移行リクエストをキャンセルする |
x |
|||||
モデル名の変更 |
x |
|||||
権限を変更する |
x |
|||||
モデル、モデルバージョンの削除 |
x |
ノートブック ACL
許可される操作(X) |
NO PERMISSIONS |
CAN READ |
CAN RUN |
CAN EDIT |
CAN MANAGE |
---|---|---|---|---|---|
セルの表示 |
x |
x |
x |
x |
|
コメントをつける |
x |
x |
x |
x |
|
%run またはノートブックワークフロー経由で実行 |
x |
x |
x |
x |
|
ノートブックのアタッチとデタッチ |
x |
x |
x |
||
コマンドを実行する |
x |
x |
x |
||
セルを編集する |
x |
x |
|||
権限を変更する |
x |
プール ACL
許可される操作(X) |
NO PERMISSIONS |
Can Attach To |
CAN MANAGE |
---|---|---|---|
クラスターをプールに接続する |
x |
x |
|
プールを削除 |
x |
||
プールを編集 |
x |
||
権限を変更する |
x |
ACL のクエリ
許可される操作(X) |
NO PERMISSIONS |
CAN VIEW |
CAN RUN |
CAN EDIT |
CAN MANAGE |
---|---|---|---|---|---|
独自のクエリを表示する |
x |
x |
x |
x |
|
クエリ一覧で見る |
x |
x |
x |
x |
|
クエリ テキストを表示する |
x |
x |
x |
x |
|
クエリ結果の表示 |
x |
x |
x |
x |
|
クエリ結果を更新します (または別のクエリを選択してください) |
x |
x |
x |
||
クエリをダッシュボードに含める |
x |
x |
x |
||
クエリ テキストの編集 |
x |
x |
|||
SQLウェアハウスまたはデータソースを変更する |
x |
||||
権限を変更する |
x |
||||
クエリの削除 |
x |
シークレット ACL
許可される操作(X) |
READ |
WRITE |
MANAGE |
---|---|---|---|
シークレットスコープを読む |
x |
x |
x |
スコープ内のシークレットを一覧表示する |
x |
x |
x |
シークレットスコープに書き込む |
x |
x |
|
権限を変更する |
x |
エンドポイント ACL の提供
許可される操作(X) |
NO PERMISSIONS |
CAN VIEW |
CAN QUERY |
CAN MANAGE |
---|---|---|---|---|
エンドポイントを取得する |
x |
x |
x |
|
エンドポイントを一覧表示する |
x |
x |
x |
|
エンドポイントのクエリー |
x |
x |
||
エンドポイント設定の更新 |
x |
|||
エンドポイントを削除 |
x |
|||
権限を変更する |
x |