アクセス制御リスト

この記事では、さまざまなワークスペースオブジェクトで使用できるアクセス許可について詳しく説明します。

アクセス制御リストの概要

SAP Databricks では、アクセス制御リスト (ACL) を使用して、ワークスペースレベルのオブジェクトにアクセスするためのアクセス許可を構成できます。ワークスペース管理者は、ワークスペース内のすべてのオブジェクトに対する CAN MANAGE 権限を持っているため、ワークスペース内のすべてのオブジェクトに対する権限を管理できます。ユーザーは、作成したオブジェクトに対する CAN MANAGE 権限を自動的に持ちます。

フォルダによるアクセス制御リストの管理

ワークスペースオブジェクトのアクセス許可は、オブジェクトをフォルダーに追加することで管理できます。フォルダ内のオブジェクトは、そのフォルダのすべての権限設定を継承します。たとえば、フォルダに対する CAN RUN 権限を持つユーザーは、そのフォルダ内のアラートに対する CAN RUN 権限を持っています。

フォルダ内のオブジェクトへのアクセス権をユーザーに付与すると、親フォルダに対する権限がなくても、親フォルダの名前を表示できます。たとえば、 test1.py という名前のノートブックが Workflowsという名前のフォルダーにあるとします。ユーザーに test1.py に対する CAN VIEW 権限を付与し、 Workflowsに対する権限がない場合、親フォルダの名前が Workflowsであることを確認できます。ユーザーは、 Workflows フォルダ内の他のオブジェクトに対する権限が付与されていない限り、そのオブジェクトを表示したりアクセスしたりすることはできません。

アラート ACL

許可される操作（X）	CAN RUN	CAN MANAGE
アラートリストを参照	x	x
アラートと結果の表示	x	x
アラート実行を手動でトリガーする	x	x
通知を購読する	x	x
アラートを編集する		x
権限を変更する		x
アラートを削除		x

ファイル ACL

許可される操作（X）	CAN VIEW	CAN RUN	CAN EDIT	CAN MANAGE
ファイルの読み取り	x	x	x	x
コメントをつける	x	x	x	x
ファイルのアタッチとデタッチ		x	x	x
ファイルを対話形式で実行		x	x	x
ファイルの編集			x	x
権限を変更する				x

注記

ワークスペース UI では、表示専用アクセスを CAN VIEW と呼んでいますが、Permissions API では CAN READ を使用して同じレベルのアクセスを表します。

フォルダ ACL

許可される操作（X）	NO PERMISSIONS	CAN VIEW	CAN EDIT	CAN RUN	CAN MANAGE
フォルダ内のオブジェクトを一覧表示する	x	x	x	x	x
フォルダ内のオブジェクトの表示		x	x	x	x
アイテムのクローン作成とエクスポート			x	x	x
フォルダ内のオブジェクトの実行				x	x
アイテムの作成、インポート、削除					x
アイテムの移動と名前の変更					x
権限を変更する					x

Git フォルダの ACL

許可される操作（X）	NO PERMISSIONS	CAN READ	CAN RUN	CAN EDIT	CAN MANAGE
フォルダー内のアセットの一覧表示	x	x	x	x	x
フォルダ内のアセットを表示する		x	x	x	x
アセットのクローン作成とエクスポート		x	x	x	x
フォルダ内の実行可能アセットを実行する			x	x	x
フォルダー内のアセットの編集と名前変更				x	x
フォルダーにブランチを作成する					x
フォルダ内の分岐を切り替える					x
フォルダへの分岐のプルまたはプッシュ					x
アセットの作成、インポート、削除、移動					x
権限を変更する					x

ジョブ ACL

許可される操作（X）	CAN VIEW	CAN MANAGE RUN	IS OWNER	CAN MANAGE
ジョブの詳細と設定を表示する	x	x	x	x
結果を見る	x	x	x	x
今すぐ実行		x	x	x
ランをキャンセル		x	x	x
ジョブ設定の編集			x	x
ジョブを削除			x	x
権限を変更する			x	x

注記

ジョブの作成者には、デフォルトで IS OWNER 権限があります。
1つのジョブに複数の所有者を設定することはできません。
グループに所有者として Is Owner 権限を割り当てることはできません。
[今すぐ実行 ] を通じてトリガーされたジョブは、[ 今すぐ実行 ] を発行したユーザーではなく、ジョブ所有者のアクセス許可を引き継ぎます。
ジョブのアクセス制御は、Databricks ジョブ UI に表示されるジョブとその実行に適用されます。以下には適用されません。
- モジュール化されたコードまたはリンクされたコードを実行するノートブックワークフロー。これらは、ノートブック自体のアクセス許可を使用します。ノートブックが Git から取得された場合、新しいコピーが作成され、そのファイルは実行をトリガーしたユーザーのアクセス許可を継承します。
- API によって送信されたジョブ。これらは、API リクエストで access_control_list を明示的に設定しない限り、ノートブックのデフォルトのアクセス許可を使用します。

MLflow エクスペリメント ACL

MLflow エクスペリメント ACL は、ノートブックエクスペリメントとワークスペースエクスペリメントで異なります。ノートブックエクスペリメントは、それを作成したノートブックから独立して管理することはできないため、アクセス許可はノートブックのアクセス許可と似ています。

ノートブック ACL

許可される操作（X）	CAN VIEW	CAN RUN	CAN EDIT	CAN MANAGE
セルの表示	x	x	x	x
コメントをつける	x	x	x	x
%runあるいはノートブックワークフローを用いた実行	x	x	x	x
ノートブックのアタッチとデタッチ		x	x	x
コマンドの実行		x	x	x
セルの編集			x	x
権限を変更する				x

クエリ ACL

許可される操作（X）	CAN VIEW	CAN RUN	CAN EDIT	CAN MANAGE
自分のクエリを表示する	x	x	x	x
クエリリストで見てください	x	x	x	x
クエリテキストの表示	x	x	x	x
クエリ結果の表示	x	x	x	x
クエリ結果を更新する (または別のパラメーターを選択する)		x	x	x
クエリテキストの編集			x	x
権限を変更する				x
クエリの削除				x

シークレット ACL

許可される操作（X）	READ	WRITE	MANAGE
シークレットスコープの読み取り	x	x	x
スコープ内のシークレットを一覧表示する	x	x	x
シークレットスコープへの書き込み		x	x
権限を変更する			x

エンドポイント ACL の提供

許可される操作（X）	CAN VIEW	CAN QUERY	CAN MANAGE
エンドポイントを取得する	x	x	x
エンドポイントを一覧表示する	x	x	x
エンドポイントのクエリー		x	x
エンドポイント設定の更新			x
エンドポイントを削除			x
権限を変更する			x

SQLウェアハウス ACL

許可される操作（X）	CAN VIEW	CAN MONITOR	CAN USE	IS OWNER	CAN MANAGE
ウェアハウスの開始		x	x	x	x
ウェアハウスの詳細を表示	x	x	x	x	x
ウェアハウスクエリの表示	x	x		x	x
クエリの実行		x	x	x	x
ウェアハウス監視タブの表示	x	x		x	x
ウェアハウスを停止する				x	x
ウェアハウスの削除				x	x
ウェアハウスの編集				x	x
権限を変更する				x	x

ベクトル検索エンドポイント ACL

許可される操作（X）	作成できる	CAN USE	CAN MANAGE
エンドポイントを取得する	x	x	x
エンドポイントの一覧表示	x	x	x
エンドポイントを作成	x	x	x
エンドポイントの使用(インデックスの作成)		x	x
エンドポイントを削除			x
権限を変更する			x