Доступ к спискам управления
В этой статье описываются сведения о разрешениях, доступных для различных объектов рабочей области.
Примечание.
Для управления доступом требуется план Premium.
Параметры управления доступом отключены по умолчанию для рабочих областей, которые обновляются с плана "Стандартный" до плана "Премиум". После включения параметра управления доступом его нельзя отключить. Дополнительные сведения см. в списках элементов управления доступом, которые можно включить в обновленных рабочих областях.
Обзор списков управления доступом
В Azure Databricks можно использовать списки управления доступом (ACL) для настройки разрешений на доступ к объектам уровня рабочей области. Администраторы рабочей области имеют разрешение CAN MANAGE для всех объектов в рабочей области, что дает им возможность управлять разрешениями для всех объектов в своих рабочих областях. У пользователей автоматически есть разрешение CAN MANAGE для создаваемых объектов.
Пример сопоставления типичных пользователей с разрешениями уровня рабочей области см. в предложении по началу работы с группами и разрешениями Databricks.
Управление списками управления доступом с помощью папок
Вы можете управлять разрешениями объектов рабочей области, добавляя объекты в папки. Объекты в папке наследуют все параметры разрешений этой папки. Например, пользователь с разрешением CAN RUN в папке имеет разрешение CAN RUN для оповещений в этой папке.
Если пользователь предоставляет доступ к объекту внутри папки, он может просмотреть имя родительской папки, даже если у них нет разрешений на родительскую папку. Например, записная книжка с именем test1.py находится в папке с именем Workflows. Если пользователь МОЖЕТ ЧИТАТЬ test1.py и не имеет разрешений Workflows, пользователь может увидеть, что родительская папка называется Workflows. Пользователь не может просматривать и получать доступ к другим объектам в папке Workflows , если они не были предоставлены им разрешения.
Сведения об организации объектов в папках см . в браузере рабочей области.
Списки ACL панели мониторинга ИИ/BI
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN VIEW/CAN RUN | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|
| Просмотр панели мониторинга и результатов | x | x | x | |
| Взаимодействие с мини-приложениями | x | x | x | |
| Обновление панели мониторинга | x | x | x | |
| Изменение панели мониторинга | x | x | ||
| Клонирование панели мониторинга | x | x | x | |
| Публикация моментального снимка панели мониторинга | x | x | ||
| Изменение разрешений | x | |||
| Удаление панели мониторинга | x |
Списки управления доступом оповещений
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|
| Отображение в списке предупреждений | x | x | |
| Просмотр оповещения и результата | x | x | |
| Запуск оповещения вручную | x | x | |
| Подписка на уведомления | x | x | |
| Изменение оповещения | x | ||
| Изменение разрешений | x | ||
| Удаление оповещения | x |
Списки управления доступом вычислений
Внимание
Пользователи с разрешениями CAN ATTACH TO могут просматривать ключи учетной записи службы в файле log4j. При предоставлении разрешений такого уровня следует соблюдать осторожность.
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ПОДКЛЮЧИТЬСЯ К | МОЖЕТ ПЕРЕЗАПУСТИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|
| Подключение записной книжки к вычислительным ресурсам | x | x | x | |
| Просмотреть пользовательский интерфейс Spark | x | x | x | |
| Просмотр метрик вычислений | x | x | x | |
| Завершение вычислений | x | x | ||
| Запуск и перезапуск вычислений | x | x | ||
| Просмотр журналов драйверов | x (см. примечание) | |||
| Изменение вычислительных ресурсов | x | |||
| Присоединение библиотеки к вычислительным ресурсам | x | |||
| Изменение размера вычислений | x | |||
| Изменение разрешений | x |
Примечание.
Секреты не редактируются из журнала stdout и stderr потоков драйвера Spark кластера. Для защиты конфиденциальных данных журналы драйверов Spark по умолчанию доступны только пользователям с разрешением CAN MANAGE для задания, режима доступа одного пользователя и кластеров общего доступа. Чтобы разрешить пользователям с разрешением CAN ATTACH TO или CAN RESTART просматривать журналы в этих кластерах, задайте в конфигурации кластера следующее свойство конфигурации Spark: spark.databricks.acl.needAdminPermissionToViewLogs false
В кластерах режимов общего доступа без изоляции журналы драйверов Spark могут просматриваться пользователями с разрешением на ПОДКЛЮЧЕНИЕ или разрешением на УПРАВЛЕНИЕ. Чтобы ограничить, кто может считывать журналы только пользователям с разрешением CAN MANAGE, установите значение spark.databricks.acl.needAdminPermissionToViewLogs true.
Сведения о добавлении свойств Spark в конфигурацию кластера см. в разделе Конфигурация Spark.
Устаревшие списки управления доступом на панели мониторинга
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN VIEW | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Просмотр списка панелей мониторинга | x | x | x | x | |
| Просмотр панели мониторинга и результатов | x | x | x | x | |
| Обновление результатов запроса на панели мониторинга (или выбор других параметров) | x | x | x | ||
| Изменение панели мониторинга | x | x | |||
| Изменение разрешений | x | ||||
| Удаление панели мониторинга | x |
Для редактирования устаревшей панели мониторинга требуется параметр общего доступа средства просмотра запуска от имени. См . раздел "Поведение обновления" и контекст выполнения.
Списки ACL разностных динамических таблиц
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN VIEW | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ УПРАВЛЯТЬ | ВЛАДЕЛЕЦ |
|---|---|---|---|---|---|
| Просмотр сведений о конвейере и конвейере списка | x | x | x | x | |
| Просмотр журналов пользовательского интерфейса и драйверов Spark | x | x | x | x | |
| Запуск и завершение обновления конвейера | x | x | x | ||
| Прямой запрет кластеров конвейера | x | x | x | ||
| Редактирование параметров конвейера | x | x | |||
| Удаление конвейера | x | x | |||
| Очистка запусков и экспериментов | x | x | |||
| Изменение разрешений | x | x |
Списки управления доступом к таблицам компонентов
В этой таблице описывается, как управлять доступом к таблицам компонентов в рабочих областях, которые не включены для каталога Unity. Если рабочая область включена для каталога Unity, используйте вместо этого привилегии каталога Unity.
Примечание.
- Управление доступом к хранилищу функций не влияет на доступ к базовой разностной таблице. Он определяется с помощью контроля доступа к таблицам.
- Дополнительные сведения о разрешениях таблицы функций рабочей области см. в разделе "Управление доступом к таблицам функций".
| Замечайте способности* | МОЖЕТ ПРОСМАТРИВАТЬ МЕТАДАННЫЕ | МОЖЕТ ИЗМЕНЯТЬ МЕТАДАННЫЕ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|
| Чтение таблицы функций | X | X | X |
| Поиск в таблице функций | X | X | X |
| Публикация таблицы функций в интернет-магазине | X | X | X |
| Запись функций в таблицу функций | X | X | |
| Обновление описания таблицы функций | X | X | |
| Изменение разрешений | X | ||
| Удаление таблицы функций | X |
Списки управления доступом к файлам
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN READ | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Чтение файла | x | x | x | x | |
| Комментарий | x | x | x | x | |
| Присоединение и отключение файла | x | x | x | ||
| Интерактивный запуск файла | x | x | x | ||
| Edit file (Изменить файл) | x | x | |||
| Изменение разрешений | x |
Списки управления доступом к папкам
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN READ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Вывод списка объектов в папке | x | x | x | x | x |
| Просмотр объектов в папке | x | x | x | x | |
| Клонирование и экспорт элементов | x | x | x | ||
| Запуск объектов в папке | x | x | |||
| Создание, импорт и удаление элементов | x | ||||
| Перемещение и переименование элементов | x | ||||
| Изменение разрешений | x |
Списки ACL пространства Genie
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN VIEW/CAN RUN | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|
| См. список пространства Genie | x | x | x | x |
| Задать вопросы Genie | x | x | x | |
| Предоставление обратной связи по ответу | x | x | x | |
| Добавление или изменение инструкций Genie | x | x | ||
| Добавление или изменение примеров вопросов | x | x | ||
| Добавление или удаление включенных таблиц | x | x | ||
| Мониторинг пространства | x | |||
| Изменение разрешений | x | |||
| Удаление пространства | x | |||
| Просмотр бесед других пользователей | x |
Списки управления доступом к папкам Git
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN READ | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Вывод списка ресурсов в папке | x | x | x | x | x |
| Просмотр ресурсов в папке | x | x | x | x | |
| Клонирование и экспорт ресурсов | x | x | x | x | |
| Запуск исполняемых ресурсов в папке | x | x | x | ||
| Изменение и переименование ресурсов в папке | x | x | |||
| Создание ветви в папке | x | ||||
| Извлечение или отправить ветвь в папку | x | ||||
| Создание, импорт, удаление и перемещение ресурсов | x | ||||
| Изменение разрешений | x |
Списки управления доступом заданий
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN VIEW | МОЖЕТ УПРАВЛЯТЬ ЗАПУСКОМ | ВЛАДЕЛЕЦ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Просмотр сведений о задании и параметров | x | x | x | x | |
| Показать результаты | x | x | x | x | |
| Просмотр пользовательского интерфейса Spark, журналы выполнения задания | x | x | x | ||
| Запустить сейчас | x | x | x | ||
| Отмена запуска | x | x | x | ||
| Изменение настроек задания | x | x | |||
| Удаление задания | x | x | |||
| Изменение разрешений | x | x |
Списки управления доступом к эксперименту MLflow
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN READ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|
| Просмотр запусков сравнения сведений о выполнении поиска | x | x | x | |
| Просмотр, получение списка и скачивание артефактов запуска | x | x | x | |
| Создание, удаление и восстановление запусков | x | x | ||
| Ведение журнала параметров запуска журнала, метрик и тегов | x | x | ||
| Ведение журнала артефактов запуска | x | x | ||
| Изменение тегов эксперимента | x | x | ||
| Очистка запусков и экспериментов | x | |||
| Изменение разрешений | x |
Списки ACL модели MLflow
В этой таблице описывается, как управлять доступом к зарегистрированным моделям в рабочих областях, которые не включены для каталога Unity. Если рабочая область включена для каталога Unity, используйте вместо этого привилегии каталога Unity.
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN READ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ ПРОМЕЖУТОЧНЫМИ ВЕРСИЯМИ | МОЖЕТ УПРАВЛЯТЬ РАБОЧИМИ ВЕРСИЯМИ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|---|
| Просмотр сведений о модели, ее версий, запросов на изменение этапа, действий и URI скачивания артефактов | x | x | x | x | x | |
| Запрос на изменение этапа для версии модели | x | x | x | x | x | |
| Добавление версии в модель | x | x | x | x | ||
| Обновление модели и описания версии | x | x | x | x | ||
| Добавление или изменение тегов | x | x | x | x | ||
| Изменение этапа для версии модели | x | x | x | |||
| Утверждение запроса на переход | x | x | x | |||
| Отмена запроса на переход | x | |||||
| Переименование модели | x | |||||
| Изменение разрешений | x | |||||
| Удаление модели и версий модели | x |
Списки управления доступом к записной книжке
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN READ | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Просмотр ячеек | x | x | x | x | |
| Комментарий | x | x | x | x | |
| Запуск через %run или рабочие процессы записной книжки | x | x | x | x | |
| Подключение и отключение записных книжек | x | x | x | ||
| Выполнение команд | x | x | x | ||
| Редактирование ячеек | x | x | |||
| Изменение разрешений | x |
Списки управления доступом к пулу
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ПОДКЛЮЧИТЬСЯ К | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|
| Подключение кластера к пулу | x | x | |
| Удаление пула | x | ||
| Изменение пула | x | ||
| Изменение разрешений | x |
Запрос списков управления доступом
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN VIEW | МОЖЕТ ВЫПОЛНЯТЬСЯ | МОЖЕТ ИЗМЕНИТЬ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Просмотр собственных запросов | x | x | x | x | |
| См. в списке запросов | x | x | x | x | |
| Просмотреть текст запроса | x | x | x | x | |
| Просмотреть результат запроса | x | x | x | x | |
| Обновление результаты запроса (или выбор других параметров) | x | x | x | ||
| Добавление запроса на панель мониторинга | x | x | x | ||
| Редактирование текста запроса | x | x | |||
| Изменение хранилища SQL или источника данных | x | ||||
| Изменение разрешений | x | ||||
| запрос «Удаление» | x |
Списки ACL секретов
| Замечайте способности* | ЧИТАТЬ | ЗАПИСЬ | УПРАВЛЕНИЕ |
|---|---|---|---|
| Чтение области секрета | x | x | x |
| Вывод списка секретов в области | x | x | x |
| Запись в область секрета | x | x | |
| Изменение разрешений | x |
Предоставление списков управления доступом конечных точек
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | CAN VIEW | CAN QUERY | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|
| Получение конечной точки | x | x | x | |
| Вывод списка конечных точек | x | x | x | |
| Конечная точка запроса | x | x | ||
| Обновление конфигурации конечной точки | x | |||
| Удаление конечной точки | x | |||
| Изменение разрешений | x |
Списки управления доступом к хранилищу SQL
| Замечайте способности* | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ИСПОЛЬЗОВАТЬ | CAN MONITOR | ВЛАДЕЛЕЦ | МОЖЕТ УПРАВЛЯТЬ |
|---|---|---|---|---|---|
| Запуск хранилища | x | x | x | x | |
| Просмотр сведений о хранилище | x | x | x | x | |
| Просмотр запросов хранилища | x | x | x | ||
| Просмотр вкладки "Мониторинг хранилища" | x | x | x | ||
| Остановка хранилища | x | x | |||
| Удаление хранилища | x | x | |||
| Изменение хранилища | x | x | |||
| Изменение разрешений | x | x |