メインコンテンツまでスキップ

アクセス制御リスト

この記事では、さまざまなワークスペース オブジェクトで使用できるアクセス許可について詳しく説明します。

アクセス制御リストの概要

SAP Databricks では、アクセス制御リスト (ACL) を使用して、ワークスペース レベルのオブジェクトにアクセスするためのアクセス許可を構成できます。ワークスペース管理者は、ワークスペース内のすべてのオブジェクトに対する CAN MANAGE 権限を持っているため、ワークスペース内のすべてのオブジェクトに対する権限を管理できます。 ユーザーは、作成したオブジェクトに対する CAN MANAGE 権限を自動的に持ちます。

フォルダによるアクセス制御リストの管理

ワークスペース オブジェクトのアクセス許可は、オブジェクトをフォルダーに追加することで管理できます。 フォルダ内のオブジェクトは、そのフォルダのすべての権限設定を継承します。 たとえば、フォルダに対する CAN RUN 権限を持つユーザーは、そのフォルダ内のアラートに対する CAN RUN 権限を持っています。

フォルダ内のオブジェクトへのアクセス権をユーザーに付与すると、親フォルダに対する権限がなくても、親フォルダの名前を表示できます。たとえば、 test1.py という名前のノートブックが Workflowsという名前のフォルダーにあるとします。ユーザーに test1.py に対する CAN VIEW 権限を付与し、 Workflowsに対する権限がない場合、親フォルダの名前が Workflowsであることを確認できます。ユーザーは、 Workflows フォルダ内の他のオブジェクトに対する権限が付与されていない限り、そのオブジェクトを表示したりアクセスしたりすることはできません。

アラート ACL

許可される操作(X)

NO PERMISSIONS

CAN RUN

CAN MANAGE

アラートリストを参照

x

x

アラートと結果の表示

x

x

アラート実行を手動でトリガーする

x

x

通知を購読する

x

x

アラートを編集する

x

権限を変更する

x

アラートを削除

x

ファイル ACL

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN RUN

CAN EDIT

CAN MANAGE

ファイルの読み取り

x

x

x

x

コメントをつける

x

x

x

x

ファイルのアタッチとデタッチ

x

x

x

ファイルを対話形式で実行

x

x

x

ファイルの編集

x

x

権限を変更する

x

注記

ワークスペース UI では、表示専用アクセスを CAN VIEW と呼んでいますが、Permissions API では CAN READ を使用して同じレベルのアクセスを表します。

フォルダ ACL

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN EDIT

CAN RUN

CAN MANAGE

フォルダ内のオブジェクトを一覧表示する

x

x

x

x

x

フォルダ内のオブジェクトの表示

x

x

x

x

アイテムのクローン作成とエクスポート

x

x

x

フォルダ内のオブジェクトの実行

x

x

アイテムの作成、インポート、削除

x

アイテムの移動と名前の変更

x

権限を変更する

x

Git フォルダの ACL

許可される操作(X)

NO PERMISSIONS

CAN READ

CAN RUN

CAN EDIT

CAN MANAGE

フォルダー内のアセットの一覧表示

x

x

x

x

x

フォルダ内のアセットを表示する

x

x

x

x

アセットのクローン作成とエクスポート

x

x

x

x

フォルダ内の実行可能アセットを実行する

x

x

x

フォルダー内のアセットの編集と名前変更

x

x

フォルダーにブランチを作成する

x

フォルダ内の分岐を切り替える

x

フォルダへの分岐のプルまたはプッシュ

x

アセットの作成、インポート、削除、移動

x

権限を変更する

x

ジョブ ACL

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN MANAGE RUN

IS OWNER

CAN MANAGE

ジョブの詳細と設定を表示する

x

x

x

x

結果を見る

x

x

x

x

今すぐ実行

x

x

x

ランをキャンセル

x

x

x

ジョブ設定の編集

x

x

ジョブを削除

x

x

権限を変更する

x

x

注記
  • ジョブの作成者には、デフォルトで IS OWNER 権限があります。

  • 1つのジョブに複数の所有者を設定することはできません。

  • グループに所有者として Is Owner 権限を割り当てることはできません。

  • [今すぐ実行 ] を通じてトリガーされたジョブは、[ 今すぐ実行 ] を発行したユーザーではなく、ジョブ所有者のアクセス許可を引き継ぎます。

  • ジョブのアクセス制御は、Databricks ジョブ UI に表示されるジョブとその実行に適用されます。以下には適用されません。

    • モジュール化されたコードまたはリンクされたコードを実行するノートブック ワークフロー。これらは、ノートブック自体のアクセス許可を使用します。ノートブックが Git から取得された場合、新しいコピーが作成され、そのファイルは実行をトリガーしたユーザーのアクセス許可を継承します。

    • API によって送信されたジョブ。これらは、API リクエストで access_control_list を明示的に設定しない限り、ノートブックのデフォルトのアクセス許可を使用します。

MLflow エクスペリメント ACL

MLflow エクスペリメント ACL は、ノートブック エクスペリメントとワークスペース エクスペリメントで異なります。 ノートブック エクスペリメントは、それを作成したノートブックから独立して管理することはできないため、アクセス許可はノートブックのアクセス許可と似ています。

ノートブック ACL

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN RUN

CAN EDIT

CAN MANAGE

セルの表示

x

x

x

x

コメントをつける

x

x

x

x

%runあるいはノートブック ワークフローを用いた実行

x

x

x

x

ノートブックのアタッチとデタッチ

x

x

x

コマンドの実行

x

x

x

セルの編集

x

x

権限を変更する

x

クエリ ACL

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN RUN

CAN EDIT

CAN MANAGE

自分のクエリを表示する

x

x

x

x

クエリリストで見てください

x

x

x

x

クエリ テキストの表示

x

x

x

x

クエリ結果の表示

x

x

x

x

クエリ結果を更新する (または別のパラメーターを選択する)

x

x

x

クエリテキストの編集

x

x

権限を変更する

x

クエリの削除

x

シークレット ACL

許可される操作(X)

READ

WRITE

MANAGE

シークレットスコープの読み取り

x

x

x

スコープ内のシークレットを一覧表示する

x

x

x

シークレットスコープへの書き込み

x

x

権限を変更する

x

エンドポイント ACL の提供

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN QUERY

CAN MANAGE

エンドポイントを取得する

x

x

x

エンドポイントを一覧表示する

x

x

x

エンドポイントのクエリー

x

x

エンドポイント設定の更新

x

エンドポイントを削除

x

権限を変更する

x

SQLウェアハウス ACL

許可される操作(X)

NO PERMISSIONS

CAN VIEW

CAN MONITOR

CAN USE

IS OWNER

CAN MANAGE

ウェアハウスの開始

x

x

x

x

ウェアハウスの詳細を表示

x

x

x

x

x

ウェアハウス クエリの表示

x

x

x

x

クエリの実行

x

x

x

x

ウェアハウス監視タブの表示

x

x

x

x

ウェアハウスを停止する

x

x

ウェアハウスの削除

x

x

ウェアハウスの編集

x

x

権限を変更する

x

x

ベクトル検索エンドポイント ACL

許可される操作(X)

NO PERMISSIONS

作成できる

CAN USE

CAN MANAGE

エンドポイントを取得する

x

x

x

エンドポイントの一覧表示

x

x

x

エンドポイントを作成

x

x

x

エンドポイントの使用(インデックスの作成)

x

x

エンドポイントを削除

x

権限を変更する

x