Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются сведения о разрешениях, доступных для различных объектов рабочей области.
Примечание.
Для управления доступом требуется план Premium.
Параметры управления доступом отключены по умолчанию для рабочих областей, которые обновляются с плана "Стандартный" до плана "Премиум". После включения параметра управления доступом его нельзя отключить. Дополнительные сведения см. в списках элементов управления доступом, которые можно включить в обновленных рабочих областях.
Обзор списков управления доступом
В Azure Databricks можно использовать списки управления доступом (ACL) для настройки разрешений на доступ к объектам уровня рабочей области. Администраторы рабочей области имеют разрешение CAN MANAGE для всех объектов в рабочей области, что дает им возможность управлять разрешениями для всех объектов в своих рабочих областях. У пользователей автоматически есть разрешение CAN MANAGE для создаваемых объектов.
Пример сопоставления типичных пользователей с разрешениями уровня рабочей области см. в предложении по началу работы с группами и разрешениями Databricks.
Управление списками управления доступом с помощью папок
Вы можете управлять разрешениями объектов рабочей области, добавляя объекты в папки. Объекты в папке наследуют все параметры разрешений этой папки. Например, пользователь с разрешением CAN RUN в папке имеет разрешение CAN RUN для оповещений в этой папке.
Если пользователь предоставляет доступ к объекту внутри папки, он может просмотреть имя родительской папки, даже если у них нет разрешений на родительскую папку. Например, записная книжка с именем test1.py находится в папке с именем Workflows. Если пользователь МОЖЕТ ЧИТАТЬ test1.py и не имеет разрешений Workflows, пользователь может увидеть, что родительская папка называется Workflows. Пользователь не может просматривать и получать доступ к другим объектам в папке Workflows , если они не были предоставлены им разрешения.
Сведения об организации объектов в папках см . в браузере рабочей области.
Списки ACL панели мониторинга ИИ/BI
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ПРОСМОТРЕТЬ/МОЖЕТ ЗАПУСТИТЬ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|
| Просмотр панели мониторинга и результатов | x | x | x | |
| Взаимодействие с мини-приложениями | x | x | x | |
| Обновление панели мониторинга | x | x | x | |
| Изменение панели мониторинга | x | x | ||
| Клонирование панели мониторинга | x | x | x | |
| Публикация моментального снимка панели мониторинга | x | x | ||
| Изменение разрешений | x | |||
| Удаление панели мониторинга | x |
Списки управления доступом оповещений
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ РАБОТАТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|
| Смотреть в списке оповещений | x | x | |
| Просмотр оповещения и результата | x | x | |
| Запуск оповещения вручную | x | x | |
| Подписка на уведомления | x | x | |
| Изменение оповещения | x | ||
| Изменение разрешений | x | ||
| Удаление оповещения | x |
Списки управления доступом вычислений
Внимание
Пользователи с разрешениями CAN ATTACH TO могут просматривать ключи учетной записи службы в файле log4j. При предоставлении разрешений такого уровня следует соблюдать осторожность.
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ПОДКЛЮЧИТЬСЯ К | МОЖЕТ ПЕРЕЗАПУСТИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|
| Подключение записной книжки к вычислительным ресурсам | x | x | x | |
| Просмотреть пользовательский интерфейс Spark | x | x | x | |
| Просмотр метрик вычислений | x | x | x | |
| Завершение вычислений | x | x | ||
| Запуск и перезапуск вычислений | x | x | ||
| Просмотр журналов драйверов | x (см. примечание) | |||
| Редактировать вычисления | x | |||
| Присоединение библиотеки к вычислительным ресурсам | x | |||
| Изменение размера вычислений | x | |||
| Изменение разрешений | x |
Примечание.
Секреты не удаляются из журналов и потоков драйвера Spark кластера. Для защиты конфиденциальных данных журналы драйверов Spark по умолчанию доступны только пользователям с разрешением CAN MANAGE на задание, выделенный режим доступа и кластеры стандартного режима доступа. Чтобы разрешить пользователям с разрешением CAN ATTACH TO или CAN RESTART просматривать журналы в этих кластерах, задайте в конфигурации кластера следующее свойство конфигурации Spark: spark.databricks.acl.needAdminPermissionToViewLogs false
В кластерах режимов общего доступа без изоляции журналы драйверов Spark могут просматриваться пользователями с разрешением на ПОДКЛЮЧЕНИЕ или разрешением на УПРАВЛЕНИЕ. Чтобы ограничить доступ к журналам только для пользователей с разрешением CAN MANAGE, установите spark.databricks.acl.needAdminPermissionToViewLogs на true.
Сведения о добавлении свойств Spark в конфигурацию кластера см. в разделе Конфигурация Spark.
Устаревшие списки управления доступом на панели мониторинга
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ПРОСМОТРЕТЬ | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Просмотр списка панелей мониторинга | x | x | x | x | |
| Просмотр панели мониторинга и результатов | x | x | x | x | |
| Обновление результатов запроса на панели мониторинга (или выбор других параметров) | x | x | x | ||
| Изменение панели мониторинга | x | x | |||
| Изменение разрешений | x | ||||
| Удаление панели мониторинга | x |
Для редактирования устаревшей панели мониторинга требуется настройка общего доступа Запуск от имени зрителя. См. раздел "Поведение обновления и контекст выполнения".
Списки ACL конвейера DLT
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ПРОСМОТРЕТЬ | МОЖЕТ БЕЖАТЬ | МОЖЕТ УПРАВЛЯТЬ | ВЛАДЕЛЕЦ |
|---|---|---|---|---|---|
| Просмотр сведений о конвейере и списке конвейеров | x | x | x | x | |
| Просмотр журналов пользовательского интерфейса и драйверов Spark | x | x | x | x | |
| Запуск и завершение обновления конвейера | x | x | x | ||
| Прямой запрет кластеров конвейера | x | x | x | ||
| Редактирование параметров конвейера | x | x | |||
| Удаление конвейера | x | x | |||
| Удаление запусков и экспериментов | x | x | |||
| Изменение разрешений | x | x |
Списки управления доступом к таблицам характеристик
В этой таблице описывается, как управлять доступом к таблицам функций в рабочих областях, которые не включены в каталог Unity. Если рабочая область включена в Unity Catalog, используйте привилегии Unity Catalog.
Примечание.
- Управление доступом в Feature Store не регулирует доступ к базовой таблице Delta , которая контролируется средствами управления доступом к таблицам .
- Дополнительные сведения о разрешениях таблицы функций рабочей области см. в статье Управление доступом к таблицам компонентов вХранилища компонентов рабочей области (устаревшая версия).
| Способность | МОЖЕТ ПРОСМАТРИВАТЬ МЕТАДАННЫЕ | МОЖЕТ ИЗМЕНЯТЬ МЕТАДАННЫЕ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|
| Чтение таблицы функций | X | X | X |
| Таблица функций поиска | X | X | X |
| Публиковать таблицу характеристик в онлайн-магазине | X | X | X |
| Запись характеристик в таблицу характеристик | X | X | |
| Обновление описания таблицы компонентов | X | X | |
| Изменение разрешений | X | ||
| Удаление таблицы характеристик | X |
Списки управления доступом к файлам
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ЧИТАТЬ | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Чтение файла | x | x | x | x | |
| Комментарий | x | x | x | x | |
| Присоединение и отключение файла | x | x | x | ||
| Интерактивный запуск файла | x | x | x | ||
| Edit file (Изменить файл) | x | x | |||
| Изменение разрешений | x |
Списки управления доступом (ACL) к папкам
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ЧИТАТЬ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Список объектов в папке | x | x | x | x | x |
| Просмотр объектов в папке | x | x | x | x | |
| Клонирование и экспорт элементов | x | x | x | ||
| Запуск объектов в папке | x | x | |||
| Создание, импорт и удаление элементов | x | ||||
| Перемещение и переименование элементов | x | ||||
| Изменение разрешений | x |
Списки ACL пространства Genie
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ПРОСМОТРЕТЬ/МОЖЕТ ЗАПУСТИТЬ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|
| Смотреть в списке пространств Genie | x | x | x | x |
| Задать вопросы у Genie | x | x | x | |
| Предоставление обратной связи по ответу | x | x | x | |
| Добавление или изменение инструкций Genie | x | x | ||
| Добавление или изменение примеров вопросов | x | x | ||
| Добавление или удаление включенных таблиц | x | x | ||
| Мониторинг пространства | x | |||
| Изменение разрешений | x | |||
| Удаление пространства | x | |||
| Просмотр бесед других пользователей | x | x |
Списки управления доступом к папкам Git
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ЧИТАТЬ | МОЖЕТ ЗАПУСКАТЬСЯ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Перечислите активы в папке | x | x | x | x | x |
| Просмотр ресурсов в папке | x | x | x | x | |
| Клонирование и экспорт ресурсов | x | x | x | x | |
| Запуск исполняемых ресурсов в папке | x | x | x | ||
| Изменение и переименование ресурсов в папке | x | x | |||
| Создание ветви в папке | x | ||||
| Смена веток в папке | x | ||||
| Извлечение или отправить ветвь в папку | x | ||||
| Создание, импорт, удаление и перемещение ресурсов | x | ||||
| Изменение разрешений | x |
Списки управления доступом заданий
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ПРОСМАТРИВАТЬ | МОЖЕТ УПРАВЛЯТЬ ЗАПУСКОМ | ВЛАДЕЛЕЦ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Просмотр сведений о задании и параметров | x | x | x | x | |
| Показать результаты | x | x | x | x | |
| Просмотр пользовательского интерфейса Spark, журналы выполнения задания | x | x | x | ||
| Запустить сейчас | x | x | x | ||
| Отмена запуска | x | x | x | ||
| Изменение настроек задания | x | x | |||
| Удаление задания | x | x | |||
| Изменение разрешений | x | x |
Списки контроля доступа к экспериментам MLflow
Списки ACL экспериментов MLflow отличаются для экспериментов с блокнотами и экспериментов в рабочей среде. Экспериментами в записных книжках нельзя управлять независимо от самой записной книжки, поэтому права доступа такие же, как у записной книжки. Дополнительные сведения о двух типах экспериментов см. в статье Организация учебных запусков с использованием экспериментов MLflow.
Списки управления доступом для экспериментов ноутбуков
Изменение этих разрешений также изменяет разрешения записной книжки, соответствующей эксперименту.
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ЧИТАТЬ | МОЖЕТ РАБОТАТЬ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Просмотр записной книжки | x | x | x | x | |
| Комментарий к записной книжке | x | x | x | x | |
| Присоединение/отсоединение записной книжки к вычислительной системе. | x | x | x | ||
| Выполнение команд в записной книжке | x | x | x | ||
| Изменение записной книжки | x | x | |||
| Изменение разрешений | x |
Списки управления доступом (ACL) для экспериментов рабочего пространства
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ЧИТАТЬ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|
| Просмотр эксперимента | x | x | x | |
| Запуск журнала для эксперимента | x | x | ||
| Изменение эксперимента | x | x | ||
| Удаление эксперимента | x | |||
| Изменение разрешений | x |
Списки управления доступом (ACL) для моделей MLflow
В этой таблице описывается, как управлять доступом к зарегистрированным моделям в рабочих областях, которые не активированы для работы с каталогом Unity. Если рабочая область включена в Unity Catalog, используйте привилегии Unity Catalog.
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ЧИТАТЬ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ ПРОМЕЖУТОЧНЫМИ ВЕРСИЯМИ | МОЖЕТ УПРАВЛЯТЬ РАБОЧИМИ ВЕРСИЯМИ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|---|
| Просмотр сведений о модели, ее версий, запросов на изменение этапа, действий и URI скачивания артефактов | x | x | x | x | x | |
| Запрос на перевод версии модели на другой этап | x | x | x | x | x | |
| Добавление версии в модель | x | x | x | x | ||
| Обновление модели и описания версии | x | x | x | x | ||
| Добавление или изменение тегов | x | x | x | x | ||
| Версия модели перехода между этапами | x | x | x | |||
| Утверждение запроса на переход | x | x | x | |||
| Отмена запроса на переход | x | |||||
| Переименование модели | x | |||||
| Изменение разрешений | x | |||||
| Удаление модели и версий модели | x |
Контроль доступа к ноутбуку
| Способность | НЕТ РАЗРЕШЕНИЙ | CAN READ | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Просмотр ячеек | x | x | x | x | |
| Комментарий | x | x | x | x | |
| Запуск с помощью рабочих процессов %run или блокнотов | x | x | x | x | |
| Присоединение и отсоединение записных книжек | x | x | x | ||
| Выполнение команд | x | x | x | ||
| Редактирование ячеек | x | x | |||
| Изменение разрешений | x |
Списки контроля доступа пула
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ПОДКЛЮЧИТЬСЯ К | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|
| Подключение кластера к пулу | x | x | |
| Удаление пула | x | ||
| Изменение пула | x | ||
| Изменение разрешений | x |
Запрос списков управления доступом
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | может просматривать | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Просмотр собственных запросов | x | x | x | x | |
| Смотрите в списке запросов | x | x | x | x | |
| Просмотреть текст запроса | x | x | x | x | |
| Просмотреть результат запроса | x | x | x | x | |
| Обновление результаты запроса (или выбор других параметров) | x | x | x | ||
| Добавление запроса на панель мониторинга | x | x | x | ||
| Редактирование текста запроса | x | x | |||
| Изменение хранилища SQL или источника данных | x | ||||
| Изменение разрешений | x | ||||
| Удалить запрос | x |
Списки ACL секретов
| Способность | ЧИТАТЬ | НАПИСАТЬ | УПРАВЛЕНИЕ |
|---|---|---|---|
| Область видимости секрета | x | x | x |
| Список секретов в области | x | x | x |
| Запись в область секрета | x | x | |
| Изменение разрешений | x |
Настройка списков контроля доступа конечных точек
| Способность | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ПРОСМОТРЕТЬ | МОЖЕТ ЗАПРОСИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|
| Получение конечной точки | x | x | x | |
| Список конечных точек | x | x | x | |
| Конечная точка запроса | x | x | ||
| Обновление конфигурации конечной точки | x | |||
| Удаление конечной точки | x | |||
| Изменение разрешений | x |
Списки управления доступом к хранилищу SQL
| Способность | НЕТ РАЗРЕШЕНИЙ | Может просматривать | МОЖЕТ НАБЛЮДАТЬ | МОЖЕТ ИСПОЛЬЗОВАТЬ | ВЛАДЕЛЕЦ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|---|
| Запуск хранилища | x | x | x | x | ||
| Просмотр сведений о хранилище | x | x | x | x | x | |
| Просмотр запросов хранилища | x | x | x | x | ||
| Выполнение запросов | x | x | x | x | ||
| Просмотр вкладки "Мониторинг хранилища" | x | x | x | x | ||
| Остановка склада | x | x | ||||
| Удаление хранилища | x | x | ||||
| Изменение хранилища | x | x | ||||
| Изменение разрешений | x | x |
Примечание.
Разрешение CAN VIEW находится в общедоступной предварительной версии.
Списки управления доступом конечных точек поиска векторов
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ СОЗДАТЬ | МОЖЕТ ИСПОЛЬЗОВАТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|
| Получение конечной точки | x | x | x | |
| Перечисление конечных точек | x | x | x | |
| Создать конечную точку | x | x | x | |
| Использование конечной точки (создание индекса) | x | x | ||
| Удаление конечной точки | x | |||
| Изменение разрешений | x |