アクセス制御リスト
この記事では、さまざまなワークスペース オブジェクトで使用できるアクセス許可について詳しく説明します。
アクセス制御リストの概要
SAP Databricks では、アクセス制御リスト (ACL) を使用して、ワークスペース レベルのオブジェクトにアクセスするためのアクセス許可を構成できます。ワークスペース管理者は、ワークスペース内のすべてのオブジェクトに対する CAN MANAGE 権限を持っているため、ワークスペース内のすべてのオブジェクトに対する権限を管理できます。 ユーザーは、作成したオブジェクトに対する CAN MANAGE 権限を自動的に持ちます。
フォルダによるアクセス制御リストの管理
ワークスペース オブジェクトのアクセス許可は、オブジェクトをフォルダーに追加することで管理できます。 フォルダ内のオブジェクトは、そのフォルダのすべての権限設定を継承します。 たとえば、フォルダに対する CAN RUN 権限を持つユーザーは、そのフォルダ内のアラートに対する CAN RUN 権限を持っています。
フォルダ内のオブジェクトへのアクセス権をユーザーに付与すると、親フォルダに対する権限がなくても、親フォルダの名前を表示できます。たとえば、 test1.py
という名前のノートブックが Workflows
という名前のフォルダーにあるとします。ユーザーに test1.py
に対する CAN VIEW 権限を付与し、 Workflows
に対する権限がない場合、親フォルダの名前が Workflows
であることを確認できます。ユーザーは、 Workflows
フォルダ内の他のオブジェクトに対する権限が付与されていない限り、そのオブジェクトを表示したりアクセスしたりすることはできません。
アラート ACL
許可される操作(X) | NO PERMISSIONS | CAN RUN | CAN MANAGE |
---|---|---|---|
アラートリストを参照 | x | x | |
アラートと結果の表示 | x | x | |
アラート実行を手動でトリガーする | x | x | |
通知を購読する | x | x | |
アラートを編集する | x | ||
権限を変更する | x | ||
アラートを削除 | x |
ファイル ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN RUN | CAN EDIT | CAN MANAGE |
---|---|---|---|---|---|
ファイルの読み取り | x | x | x | x | |
コメントをつける | x | x | x | x | |
ファイルのアタッチとデタッチ | x | x | x | ||
ファイルを対話形式で実行 | x | x | x | ||
ファイルの編集 | x | x | |||
権限を変更する | x |
ワークスペース UI では、表示専用アクセスを CAN VIEW と呼んでいますが、Permissions API では CAN READ を使用して同じレベルのアクセスを表します。
フォルダ ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN EDIT | CAN RUN | CAN MANAGE |
---|---|---|---|---|---|
フォルダ内のオブジェクトを一覧表示する | x | x | x | x | x |
フォルダ内のオブジェクトの表示 | x | x | x | x | |
アイテムのクローン作成とエクスポート | x | x | x | ||
フォルダ内のオブジェクトの実行 | x | x | |||
アイテムの作成、インポート、削除 | x | ||||
アイテムの移動と名前の変更 | x | ||||
権限を変更する | x |
Git フォルダの ACL
許可される操作(X) | NO PERMISSIONS | CAN READ | CAN RUN | CAN EDIT | CAN MANAGE |
---|---|---|---|---|---|
フォルダー内のアセットの一覧表示 | x | x | x | x | x |
フォルダ内のアセットを表示する | x | x | x | x | |
アセットのクローン作成とエクスポート | x | x | x | x | |
フォルダ内の実行可能アセットを実行する | x | x | x | ||
フォルダー内のアセットの編集と名前変更 | x | x | |||
フォルダーにブランチを作成する | x | ||||
フォルダ内の分岐を切り替える | x | ||||
フォルダへの分岐のプルまたはプッシュ | x | ||||
アセットの作成、インポート、削除、移動 | x | ||||
権限を変更する | x |
ジョブ ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN MANAGE RUN | IS OWNER | CAN MANAGE |
---|---|---|---|---|---|
ジョブの詳細と設定を表示する | x | x | x | x | |
結果を見る | x | x | x | x | |
今すぐ実行 | x | x | x | ||
ランをキャンセル | x | x | x | ||
ジョブ設定の編集 | x | x | |||
ジョブを削除 | x | x | |||
権限を変更する | x | x |
-
ジョブの作成者には、デフォルトで IS OWNER 権限があります。
-
1つのジョブに複数の所有者を設定することはできません。
-
グループに所有者として Is Owner 権限を割り当てることはできません。
-
[今すぐ実行 ] を通じてトリガーされたジョブは、[ 今すぐ実行 ] を発行したユーザーではなく、ジョブ所有者のアクセス許可を引き継ぎます。
-
ジョブのアクセス制御は、Databricks ジョブ UI に表示されるジョブとその実行に適用されます。以下には適用されません。
-
モジュール化されたコードまたはリンクされたコードを実行するノートブック ワークフロー。これらは、ノートブック自体のアクセス許可を使用します。ノートブックが Git から取得された場合、新しいコピーが作成され、そのファイルは実行をトリガーしたユーザーのアクセス許可を継承します。
-
API によって送信されたジョブ。これらは、API リクエストで
access_control_list
を明示的に設定しない限り、ノートブックのデフォルトのアクセス許可を使用します。
-
MLflow エクスペリメント ACL
MLflow エクスペリメント ACL は、ノートブック エクスペリメントとワークスペース エクスペリメントで異なります。 ノートブック エクスペリメントは、それを作成したノートブックから独立して管理することはできないため、アクセス許可はノートブックのアクセス許可と似ています。
ノートブック ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN RUN | CAN EDIT | CAN MANAGE |
---|---|---|---|---|---|
セルの表示 | x | x | x | x | |
コメントをつける | x | x | x | x | |
%runあるいはノートブック ワークフローを用いた実行 | x | x | x | x | |
ノートブックのアタッチとデタッチ | x | x | x | ||
コマンドの実行 | x | x | x | ||
セルの編集 | x | x | |||
権限を変更する | x |
クエリ ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN RUN | CAN EDIT | CAN MANAGE |
---|---|---|---|---|---|
自分のクエリを表示する | x | x | x | x | |
クエリリストで見てください | x | x | x | x | |
クエリ テキストの表示 | x | x | x | x | |
クエリ結果の表示 | x | x | x | x | |
クエリ結果を更新する (または別のパラメーターを選択する) | x | x | x | ||
クエリテキストの編集 | x | x | |||
権限を変更する | x | ||||
クエリの削除 | x |
シークレット ACL
許可される操作(X) | READ | WRITE | MANAGE |
---|---|---|---|
シークレットスコープの読み取り | x | x | x |
スコープ内のシークレットを一覧表示する | x | x | x |
シークレットスコープへの書き込み | x | x | |
権限を変更する | x |
エンドポイント ACL の提供
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN QUERY | CAN MANAGE |
---|---|---|---|---|
エンドポイントを取得する | x | x | x | |
エンドポイントを一覧表示する | x | x | x | |
エンドポイントのクエリー | x | x | ||
エンドポイント設定の更新 | x | |||
エンドポイントを削除 | x | |||
権限を変更する | x |
SQLウェアハウス ACL
許可される操作(X) | NO PERMISSIONS | CAN VIEW | CAN MONITOR | CAN USE | IS OWNER | CAN MANAGE |
---|---|---|---|---|---|---|
ウェアハウスの開始 | x | x | x | x | ||
ウェアハウスの詳細を表示 | x | x | x | x | x | |
ウェアハウス クエリの表示 | x | x | x | x | ||
クエリの実行 | x | x | x | x | ||
ウェアハウス監視タブの表示 | x | x | x | x | ||
ウェアハウスを停止する | x | x | ||||
ウェアハウスの削除 | x | x | ||||
ウェアハウスの編集 | x | x | ||||
権限を変更する | x | x |
ベクトル検索エンドポイント ACL
許可される操作(X) | NO PERMISSIONS | 作成できる | CAN USE | CAN MANAGE |
---|---|---|---|---|
エンドポイントを取得する | x | x | x | |
エンドポイントの一覧表示 | x | x | x | |
エンドポイントを作成 | x | x | x | |
エンドポイントの使用(インデックスの作成) | x | x | ||
エンドポイントを削除 | x | |||
権限を変更する | x |