Listas de controle de acesso
Este artigo descreve detalhes sobre as permissões disponíveis para os diferentes objetos do site workspace.
Observação
O controle de acesso requer o plano Premium ou acima.
As configurações de controle de acesso são desativadas pelo site default em espaços de trabalho que são atualizados do plano Standard para o plano Premium ou acima. Depois que uma configuração de controle de acesso é ativada, ela não pode ser desativada. Para obter mais informações, consulte As listas de controles de acesso podem ser ativadas no espaço de trabalho atualizado.
Visão geral das listas de controle de acesso
Em Databricks, é possível usar listas de controle de acesso (ACLs) para configurar a permissão de acesso a objetos de nível workspace. workspace Os administradores têm a permissão CAN MANAGE em todos os objetos de seu workspace, o que lhes dá a capacidade de gerenciar permissões em todos os objetos de seu espaço de trabalho. Os usuários têm automaticamente a permissão CAN MANAGE para os objetos que criam.
Para obter um exemplo de como mapear personas típicas para permissões de nível workspace, consulte a Proposta para começar com grupos e permissões Databricks .
Gerenciar listas de controle de acesso com pastas
O senhor pode gerenciar as permissões do objeto workspace adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tenha a permissão CAN RUN em uma pasta tem a permissão CAN RUN no alerta dessa pasta.
Se o senhor conceder a um usuário acesso a um objeto dentro da pasta, ele poderá view o nome da pasta principal, mesmo que não tenha permissões na pasta principal. Por exemplo, um Notebook chamado test1.py
está em uma pasta chamada Workflows
. Se o senhor conceder a um usuário a permissão CAN READ em test1.py
e nenhuma permissão em Workflows
, o usuário poderá ver que a pasta principal tem o nome Workflows
. O usuário não pode view nem acessar outros objetos na pasta Workflows
, a menos que tenha recebido permissões para eles.
Para saber mais sobre como organizar objetos em pastas, consulte Navegador do espaço de trabalho.
ACLs de painel de AI/BI
Função |
No Permissions |
CAN VIEW/CAN RUN |
Pode editar |
Can Manage (Pode gerenciar) |
---|---|---|---|---|
view painel de controle e resultados |
x |
x |
x |
|
Interagir com widgets |
x |
x |
x |
|
refresh o painel de controle |
x |
x |
x |
|
Editar dashboard |
x |
x |
||
Clonar painel de controle |
x |
x |
x |
|
Publicar painel de controle Snapshot |
x |
x |
||
Modificar permissões |
x |
|||
Excluir painel |
x |
alerta ACLs
Função |
No Permissions |
Pode executar |
Can Manage (Pode gerenciar) |
---|---|---|---|
Ver na lista de alerta |
x |
x |
|
view alerta e resultado |
x |
x |
|
Acionar manualmente a execução do alerta |
x |
x |
|
Assine as notificações |
x |
x |
|
Editar alerta |
x |
||
Modificar permissões |
x |
||
Excluir alerta |
x |
Computar ACLs
Importante
Os usuários com permissões CAN ATTACH TO podem view a chave do serviço account no arquivo log4j. Tenha cuidado ao conceder esse nível de permissão.
Função |
No Permissions |
Can Attach To (Pode anexar a) |
Can Restart (Pode reiniciar) |
Can Manage (Pode gerenciar) |
---|---|---|---|---|
Anexe o site Notebook ao compute |
x |
x |
x |
|
Ver interface do usuário do Spark |
x |
x |
x |
|
view compute métricas |
x |
x |
x |
|
Encerrar compute |
x |
x |
||
começar e reiniciar compute |
x |
x |
||
Exibir logs dos drivers |
||||
Editar compute |
x |
|||
Anexar a biblioteca ao compute |
x |
|||
Redimensionar compute |
x |
|||
Modificar permissões |
x |
Observação
Os segredos não são removidos de um driver cluster Spark log stdout
e stderr
transmissão. Para proteger dados confidenciais, os drivers default, Spark logs podem ser visualizados apenas por usuários com permissão CAN MANAGE em Job, modo de acesso de usuário único e modo de acesso compartilhado clusters. Para permitir que os usuários com permissão CAN ATTACH TO ou CAN RESTART possam view o logs nesses clusters, defina a seguinte propriedade de configuração Spark na configuração cluster: spark.databricks.acl.needAdminPermissionToViewLogs false
.
No modo de acesso compartilhado sem isolamento clusters, o driver Spark logs pode ser visualizado por usuários com permissão CAN ATTACH TO ou CAN MANAGE. Para limitar quem pode ler os logs apenas aos usuários com a permissão CAN MANAGE, defina spark.databricks.acl.needAdminPermissionToViewLogs
como true
.
Consulte Configuração do Spark para saber como adicionar propriedades do Spark a uma configuração de cluster.
ACLs de painel herdadas
Função |
No Permissions |
Pode ver |
Pode executar |
Pode editar |
Can Manage (Pode gerenciar) |
---|---|---|---|---|---|
Ver na lista do painel |
x |
x |
x |
x |
|
view painel de controle e resultados |
x |
x |
x |
x |
|
refresh consultar os resultados no painel (ou escolher parâmetros diferentes) |
x |
x |
x |
||
Editar dashboard |
x |
x |
|||
Modificar permissões |
x |
||||
Excluir painel |
x |
A edição de um painel legado requer a configuração de execução como compartilhamento de visualizador. Consulte refresh behavior e execution context.
Delta Live Tables pipeline ACLs
Função |
No Permissions |
Pode ver |
Pode executar |
Can Manage (Pode gerenciar) |
É o proprietário |
---|---|---|---|---|---|
view pipeline detalhes e lista pipeline |
x |
x |
x |
x |
|
view Spark UI e motorista logs |
x |
x |
x |
x |
|
começar e interromper uma atualização do site pipeline |
x |
x |
x |
||
Interromper diretamente os clusters de pipeline |
x |
x |
x |
||
Editar definições do pipeline |
x |
x |
|||
Excluir o pipeline |
x |
x |
|||
Purgar execução e experimentos |
x |
x |
|||
Modificar permissões |
x |
x |
tabelas de recurso ACLs
Esta tabela descreve como controlar o acesso a tabelas de recursos no espaço de trabalho que não estão habilitadas para Unity Catalog. Se o site workspace estiver habilitado para Unity Catalog, use os privilégios deUnity Catalog .
Observação
O controle de acesso ao repositório de recursos não rege o acesso à tabela subjacenteDelta, que é regida pelo controle de acesso da tabela.
Para obter mais informações sobre as permissões da tabela de recursos do site workspace, consulte Controlar o acesso às tabelas de recursos.
Função |
CAN VIEW METADATA |
CAN EDIT METADATA |
Can Manage (Pode gerenciar) |
---|---|---|---|
Ler tabela de recursos |
X |
X |
X |
Pesquisar tabela de recursos |
X |
X |
X |
Publicar recurso table to armazenamento online |
X |
X |
X |
Gravar recurso na tabela de recursos |
X |
X |
|
Atualizar a descrição da tabela de recursos |
X |
X |
|
Modificar permissões |
X |
||
Excluir tabela de recursos |
X |
ACLs de arquivos
Função |
No Permissions |
Pode ler |
Pode executar |
Pode editar |
Can Manage (Pode gerenciar) |
---|---|---|---|---|---|
Ler arquivo |
x |
x |
x |
x |
|
Comentário |
x |
x |
x |
x |
|
Anexar e desanexar arquivo |
x |
x |
x |
||
executar arquivo interativamente |
x |
x |
x |
||
Editar arquivo |
x |
x |
|||
Modificar permissões |
x |
ACLs de pasta
Função |
No Permissions |
Pode ler |
Pode editar |
Pode executar |
Can Manage (Pode gerenciar) |
---|---|---|---|---|---|
Listar objetos na pasta |
x |
x |
x |
x |
x |
view objetos na pasta |
x |
x |
x |
x |
|
Clonar e exportar itens |
x |
x |
x |
||
objetos de execução na pasta |
x |
x |
|||
Criar, importar e excluir itens |
x |
||||
Mover e renomear itens |
x |
||||
Modificar permissões |
x |
ACLs espaciais do Genie
Função |
No Permissions |
CAN VIEW/CAN RUN |
Pode editar |
Can Manage (Pode gerenciar) |
---|---|---|---|---|
Veja em genie a lista de espaços |
x |
x |
x |
x |
Faça perguntas ao site genie |
x |
x |
x |
|
Fornecer feedback de resposta |
x |
x |
x |
|
Adicionar ou editar as instruções do site genie |
x |
x |
||
Adicionar ou editar exemplos de perguntas |
x |
x |
||
Adicionar ou remover tabelas incluídas |
x |
x |
||
Monitorar um espaço |
x |
|||
Modificar permissões |
x |
|||
Excluir espaço |
x |
|||
visualizar as conversas de outros usuários |
x |
ACLs de pastas do Git
Função |
No Permissions |
Pode ler |
Pode executar |
Pode editar |
Can Manage (Pode gerenciar) |
---|---|---|---|---|---|
Listar ativo em uma pasta |
x |
x |
x |
x |
x |
view ativo em uma pasta |
x |
x |
x |
x |
|
Clonar e exportar ativo |
x |
x |
x |
x |
|
execução executável ativo na pasta |
x |
x |
x |
||
Editar e renomear ativos em uma pasta |
x |
x |
|||
Criar uma ramificação em uma pasta |
x |
||||
Puxar ou empurrar um ramo para uma pasta |
x |
||||
Criar, importar, excluir e mover o ativo |
x |
||||
Modificar permissões |
x |
Job ACLs
Função |
No Permissions |
Pode ver |
Pode gerenciar a execução |
É o proprietário |
Can Manage (Pode gerenciar) |
---|---|---|---|---|---|
Ver detalhes e configurações do trabalho |
x |
x |
x |
x |
|
view resultados |
x |
x |
x |
x |
|
view Spark UI, logs de uma Job execução |
x |
x |
x |
||
Executar agora |
x |
x |
x |
||
Cancelar execução |
x |
x |
x |
||
Editar configurações de trabalho |
x |
x |
|||
Excluir job |
x |
x |
|||
Modificar permissões |
x |
x |
ACLs de experimentos do MLflow
Função |
No Permissions |
Pode ler |
Pode editar |
Can Manage (Pode gerenciar) |
---|---|---|---|---|
view execução info search compare execução |
x |
x |
x |
|
view, lista e download artefatos de execução |
x |
x |
x |
|
Criar, excluir e restaurar a execução |
x |
x |
||
log execução params, métricas, tags |
x |
x |
||
log artefatos de execução |
x |
x |
||
Editar tags de experimentos |
x |
x |
||
Purgar execução e experimentos |
x |
|||
Modificar permissões |
x |
ACLs do modelo MLflow
Esta tabela descreve como controlar o acesso a modelos registrados no espaço de trabalho que não estão habilitados para Unity Catalog. Se o site workspace estiver habilitado para Unity Catalog, use os privilégios deUnity Catalog .
Função |
No Permissions |
Pode ler |
Pode editar |
CAN MANAGE STAGING VERSIONS |
CAN MANAGE PRODUCTION VERSIONS |
Can Manage (Pode gerenciar) |
---|---|---|---|---|---|---|
view Detalhes do modelo, versões, solicitações de transição de estágio, atividades e artefatos download URIs |
x |
x |
x |
x |
x |
|
Solicitar uma versão do modelo de transição de estágio |
x |
x |
x |
x |
x |
|
Adicionar uma versão a um modelo |
x |
x |
x |
x |
||
Atualizar a descrição do modelo e da versão |
x |
x |
x |
x |
||
Adicionar ou editar tags |
x |
x |
x |
x |
||
Versão do modelo de transição entre os estágios |
x |
x |
x |
|||
Aprovar uma solicitação de transição |
x |
x |
x |
|||
Cancelar uma solicitação de transição |
x |
|||||
Renomear modelo |
x |
|||||
Modificar permissões |
x |
|||||
Excluir modelo e versões de modelo |
x |
Notebook ACLs
Função |
No Permissions |
Pode ler |
Pode executar |
Pode editar |
Can Manage (Pode gerenciar) |
---|---|---|---|---|---|
view células |
x |
x |
x |
x |
|
Comentário |
x |
x |
x |
x |
|
execução via %run ou Notebook fluxo de trabalho |
x |
x |
x |
x |
|
Anexar e desanexar o Notebook |
x |
x |
x |
||
execução comando |
x |
x |
x |
||
Editar células |
x |
x |
|||
Modificar permissões |
x |
ACLs de pool
Função |
No Permissions |
Can Attach To (Pode anexar a) |
Can Manage (Pode gerenciar) |
---|---|---|---|
Anexar o cluster ao pool |
x |
x |
|
Excluir pool |
x |
||
Editar pool |
x |
||
Modificar permissões |
x |
Consultar ACLs
Função |
No Permissions |
Pode ver |
Pode executar |
Pode editar |
Can Manage (Pode gerenciar) |
---|---|---|---|---|---|
view consultas próprias |
x |
x |
x |
x |
|
Ver na lista de consultas |
x |
x |
x |
x |
|
view texto da consulta |
x |
x |
x |
x |
|
view resultado da consulta |
x |
x |
x |
x |
|
refresh resultado da consulta (ou escolha parâmetros diferentes) |
x |
x |
x |
||
Incluir a consulta em um dashboard |
x |
x |
x |
||
Editar o texto da consulta |
x |
x |
|||
Alterar SQL warehouse ou fonte de dados |
x |
||||
Modificar permissões |
x |
||||
Excluir consulta |
x |
ACLs secretas
Função |
Ler |
Gravar |
gerenciar |
---|---|---|---|
Leia o Secret Scope |
x |
x |
x |
Listar segredos no escopo |
x |
x |
x |
Escreva para o Secret Scope |
x |
x |
|
Modificar permissões |
x |
Servindo ACLs de ponto de extremidade
Função |
No Permissions |
Pode ver |
CAN QUERY |
Can Manage (Pode gerenciar) |
---|---|---|---|---|
Obter endpoint |
x |
x |
x |
|
Listar endpoint |
x |
x |
x |
|
Endpoint da query |
x |
x |
||
Atualizar a configuração do endpoint |
x |
|||
Excluir endpoint |
x |
|||
Modificar permissões |
x |
SQL warehouse ACLs
Função |
No Permissions |
Pode usar |
MONITOR DE CAN |
É o proprietário |
Can Manage (Pode gerenciar) |
---|---|---|---|---|---|
começar o armazém |
x |
x |
x |
x |
|
view detalhes do depósito |
x |
x |
x |
x |
|
view consultas ao depósito |
x |
x |
x |
||
view monitoramento de armazém tab |
x |
x |
x |
||
Parar o armazém |
x |
x |
|||
Excluir o depósito |
x |
x |
|||
Editar o depósito |
x |
x |
|||
Modificar permissões |
x |
x |