Pular para o conteúdo principal

Listas de controle de acesso

Este artigo descreve detalhes sobre as permissões disponíveis para os diferentes objetos do site workspace.

Visão geral das listas de controle de acesso

No SAP Databricks, é possível usar listas de controle de acesso (ACLs) para configurar a permissão de acesso a objetos de nível workspace. Os administradores do espaço de trabalho têm a permissão CAN MANAGE em todos os objetos de seu workspace, o que lhes dá a capacidade de gerenciar permissões em todos os objetos de seu espaço de trabalho. Os usuários têm automaticamente a permissão CAN MANAGE para os objetos que criam.

Gerenciar listas de controle de acesso com pastas

O senhor pode gerenciar as permissões do objeto workspace adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tenha a permissão CAN RUN em uma pasta tem a permissão CAN RUN no alerta dessa pasta.

Se o senhor conceder a um usuário acesso a um objeto dentro da pasta, ele poderá view o nome da pasta principal, mesmo que não tenha permissões na pasta principal. Por exemplo, um Notebook chamado test1.py está em uma pasta chamada Workflows. Se o senhor conceder a um usuário a permissão CAN VIEW em test1.py e nenhuma permissão em Workflows, o usuário poderá ver que a pasta pai se chama Workflows. O usuário não pode acessar view ou qualquer outro objeto na pasta Workflows, a menos que tenha recebido permissões para isso.

alerta ACLs

Função

No Permissions

Pode executar

Can Manage (Pode gerenciar)

Ver na lista de alerta

x

x

ver alerta e resultado

x

x

Acionar manualmente a execução do alerta

x

x

Inscrever-se para receber notificações

x

x

Editar alerta

x

Modificar permissões

x

Excluir alerta

x

ACLs de arquivos

Função

No Permissions

Pode ver

Pode executar

Pode editar

Can Manage (Pode gerenciar)

Ler arquivo

x

x

x

x

Comentário

x

x

x

x

Anexar e desanexar arquivo

x

x

x

executar arquivo interativamente

x

x

x

Editar arquivo

x

x

Modificar permissões

x

nota

A interface do usuário workspace se refere ao acesso somente viewcomo CAN VIEW, enquanto o Permissions API usa CAN READ para representar o mesmo nível de acesso.

ACLs de pastas

Função

No Permissions

Pode ver

Pode editar

Pode executar

Can Manage (Pode gerenciar)

Listar objetos na pasta

x

x

x

x

x

Exibir objetos na pasta

x

x

x

x

Clonar e exportar itens

x

x

x

objetos de execução na pasta

x

x

Crie, importe e exclua itens

x

Mover e renomear itens

x

Modificar permissões

x

ACLs de pastas do Git

Função

No Permissions

Pode ler

Pode executar

Pode editar

Can Manage (Pode gerenciar)

Listar ativo em uma pasta

x

x

x

x

x

visualizar o ativo em uma pasta

x

x

x

x

Clonar e exportar ativo

x

x

x

x

execução executável ativo na pasta

x

x

x

Editar e renomear ativos em uma pasta

x

x

Crie uma ramificação em uma pasta

x

Trocar ramificações em uma pasta

x

Puxe ou empurre uma ramificação para dentro de uma pasta

x

Criar, importar, excluir e mover o ativo

x

Modificar permissões

x

Job ACLs

Função

No Permissions

Pode ver

Pode gerenciar a execução

É o proprietário

Can Manage (Pode gerenciar)

Ver detalhes e configurações do trabalho

x

x

x

x

ver resultados

x

x

x

x

Executar agora

x

x

x

Cancelar execução

x

x

x

Editar configurações de trabalho

x

x

Excluir job

x

x

Modificar permissões

x

x

nota
  • O criador de um trabalho tem a permissão IS OWNER por default.

  • Um job não pode ter mais de um proprietário.

  • Não é possível atribuir a um grupo a permissão É proprietário como proprietário.

  • Os trabalhos acionados por meio da execução Now assumem as permissões do proprietário do trabalho e não do usuário que emitiu a execução Now .

  • O controle de acesso a trabalhos se aplica ao trabalho exibido na interface de usuário Databricks Jobs e à sua execução. Não se aplica a:

    • Notebook fluxo de trabalho que execução modular ou código vinculado. Eles usam as permissões do próprio Notebook. Se o Notebook vier de Git, uma nova cópia será criada e seus arquivos herdarão as permissões do usuário que acionou a execução.

    • Trabalhos enviados pela API. Eles usam as permissões default do Notebook, a menos que o senhor defina explicitamente access_control_list na solicitação API.

ACLs de experimentos do MLflow

MLflow As ACLs de experimentos são diferentes para os experimentos em Notebook e para os experimentos em workspace. Notebook Os experimentos não podem ser gerenciados independentemente do Notebook que os criou, portanto, as permissões são semelhantes às permissões do Notebook.

Notebook ACLs

Função

No Permissions

Pode ver

Pode executar

Pode editar

Can Manage (Pode gerenciar)

visualizar células

x

x

x

x

Comentário

x

x

x

x

execução usando %run ou Notebook fluxo de trabalho

x

x

x

x

Anexar e desanexar o Notebook

x

x

x

execução comando

x

x

x

Editar células

x

x

Modificar permissões

x

ACLs de consulta

Função

No Permissions

Pode ver

Pode executar

Pode editar

Can Manage (Pode gerenciar)

visualizar as próprias consultas

x

x

x

x

Veja na lista de consultas

x

x

x

x

visualizar o texto da consulta

x

x

x

x

visualizar o resultado da consulta

x

x

x

x

Atualizar o resultado da consulta (ou escolher parâmetros diferentes)

x

x

x

Editar texto da consulta

x

x

Modificar permissões

x

Excluir consulta

x

ACLs secretas

Função

Ler

Gravar

gerenciar

Leia o escopo secreto

x

x

x

Listar segredos no escopo

x

x

x

Escreva para o escopo secreto

x

x

Modificar permissões

x

Servindo endpoint ACLs

Função

No Permissions

Pode ver

CAN QUERY

Can Manage (Pode gerenciar)

Obter endpoint

x

x

x

Lista endpoint

x

x

x

Endpoint da query

x

x

Atualizar a configuração do endpoint

x

Excluir endpoint

x

Modificar permissões

x

SQL warehouse ACLs

Função

No Permissions

Pode ver

PODE MONITORAR

Pode usar

É o proprietário

Can Manage (Pode gerenciar)

começar o armazém

x

x

x

x

ver detalhes do depósito

x

x

x

x

x

Consultas de visualização do depósito

x

x

x

x

execução de consultas

x

x

x

x

view warehouse monitoramento tab

x

x

x

x

Pare o armazém

x

x

Excluir o depósito

x

x

Edite o depósito

x

x

Modificar permissões

x

x

Pesquisa vetorial endpoint ACLs

Função

No Permissions

PODE CRIAR

Pode usar

Can Manage (Pode gerenciar)

Obter endpoint

x

x

x

Ponto de extremidade da lista

x

x

x

Criar endpoint

x

x

x

Usar endpoint (criar índice)

x

x

Excluir endpoint

x

Modificar permissões

x