Listas de controle de acesso

Este artigo descreve detalhes sobre as permissões disponíveis para os diferentes objetos do site workspace.

Observação

O controle de acesso requer o plano Premium.

As configurações de controle de acesso são desativadas pelo site default em espaços de trabalho que são atualizados do plano Standard para o plano Premium. Depois que uma configuração de controle de acesso é ativada, ela não pode ser desativada. Para obter mais informações, consulte As listas de controles de acesso podem ser ativadas no espaço de trabalho atualizado.

Visão geral das listas de controle de acesso

Em Databricks, é possível usar listas de controle de acesso (ACLs) para configurar a permissão de acesso a objetos de nível workspace. workspace Os administradores têm a permissão CAN MANAGE em todos os objetos de seu workspace, o que lhes dá a capacidade de gerenciar permissões em todos os objetos de seu espaço de trabalho. Os usuários têm automaticamente a permissão CAN MANAGE para os objetos que criam.

Para obter um exemplo de como mapear personas típicas para permissões de nível workspace, consulte a Proposta para começar com grupos e permissões Databricks .

Gerenciar listas de controle de acesso com pastas

O senhor pode gerenciar as permissões do objeto workspace adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tenha a permissão CAN RUN em uma pasta tem a permissão CAN RUN no alerta dessa pasta.

Se o senhor conceder a um usuário acesso a um objeto dentro da pasta, ele poderá view o nome da pasta principal, mesmo que não tenha permissões na pasta principal. Por exemplo, um Notebook chamado test1.py está em uma pasta chamada Workflows. Se o senhor conceder a um usuário a permissão CAN READ em test1.py e nenhuma permissão em Workflows, o usuário poderá ver que a pasta principal tem o nome Workflows. O usuário não pode view nem acessar outros objetos na pasta Workflows, a menos que tenha recebido permissões para eles.

Para saber mais sobre como organizar objetos em pastas, consulte Navegador do espaço de trabalho.

ACLs de painel de AI/BI

Função

No Permissions

CAN VIEW/CAN RUN

Pode editar

Can Manage (Pode gerenciar)

view painel de controle e resultados

x

x

x

Interagir com widgets

x

x

x

refresh o painel de controle

x

x

x

Editar dashboard

x

x

Clonar painel de controle

x

x

x

Publicar painel de controle Snapshot

x

x

Modificar permissões

x

Excluir painel

x

alerta ACLs

Função

No Permissions

Pode executar

Can Manage (Pode gerenciar)

Ver na lista de alerta

x

x

view alerta e resultado

x

x

Acionar manualmente a execução do alerta

x

x

Assine as notificações

x

x

Editar alerta

x

Modificar permissões

x

Excluir alerta

x

Computar ACLs

Importante

Os usuários com permissões CAN ATTACH TO podem view a chave do serviço account no arquivo log4j. Tenha cuidado ao conceder esse nível de permissão.

Função

No Permissions

Can Attach To (Pode anexar a)

Can Restart (Pode reiniciar)

Can Manage (Pode gerenciar)

Anexe o site Notebook ao compute

x

x

x

Ver interface do usuário do Spark

x

x

x

view compute métricas

x

x

x

Encerrar compute

x

x

começar e reiniciar compute

x

x

Exibir logs dos drivers

x (ver nota)

Editar compute

x

Anexar a biblioteca ao compute

x

Redimensionar compute

x

Modificar permissões

x

Observação

Os segredos não são removidos de um driver cluster Spark log stdout e stderr transmissão. Para proteger dados confidenciais, os drivers default, Spark e logs podem ser visualizados apenas por usuários com permissão CAN MANAGE no Job, modo de acesso de usuário único e modo de acesso compartilhado clusters. Para permitir que os usuários com permissão CAN ATTACH TO ou CAN RESTART possam view o logs nesses clusters, defina a seguinte propriedade de configuração Spark na configuração cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.

No modo de acesso compartilhado sem isolamento clusters, o driver Spark logs pode ser visualizado por usuários com permissão CAN ATTACH TO ou CAN MANAGE. Para limitar quem pode ler os logs apenas aos usuários com a permissão CAN MANAGE, defina spark.databricks.acl.needAdminPermissionToViewLogs como true.

Consulte Configuração do Spark para saber como adicionar propriedades do Spark a uma configuração de cluster.

ACLs de painel herdadas

Função

No Permissions

Pode ver

Pode executar

Pode editar

Can Manage (Pode gerenciar)

Ver na lista do painel

x

x

x

x

view painel de controle e resultados

x

x

x

x

refresh consultar os resultados no painel (ou escolher parâmetros diferentes)

x

x

x

Editar dashboard

x

x

Modificar permissões

x

Excluir painel

x

A edição de um painel legado requer a configuração de execução como compartilhamento de visualizador. Consulte refresh behavior e execution context.

Delta Live Tables pipeline ACLs

Função

No Permissions

Pode ver

Pode executar

Can Manage (Pode gerenciar)

É o proprietário

view pipeline detalhes e lista pipeline

x

x

x

x

view Spark UI e motorista logs

x

x

x

x

começar e interromper uma atualização do site pipeline

x

x

x

Interromper diretamente os clusters de pipeline

x

x

x

Editar definições do pipeline

x

x

Excluir o pipeline

x

x

Purgar execução e experimentos

x

x

Modificar permissões

x

x

tabelas de recurso ACLs

Esta tabela descreve como controlar o acesso a tabelas de recursos no espaço de trabalho que não estão habilitadas para Unity Catalog. Se o site workspace estiver habilitado para Unity Catalog, use os privilégios deUnity Catalog .

Observação

Função

CAN VIEW METADATA

CAN EDIT METADATA

Can Manage (Pode gerenciar)

Ler tabela de recursos

X

X

X

Pesquisar tabela de recursos

X

X

X

Gravar recurso na tabela de recursos

X

X

Atualizar a descrição da tabela de recursos

X

X

Modificar permissões

X

Excluir tabela de recursos

X

ACLs de arquivos

Função

No Permissions

Pode ler

Pode executar

Pode editar

Can Manage (Pode gerenciar)

Ler arquivo

x

x

x

x

Comentário

x

x

x

x

Anexar e desanexar arquivo

x

x

x

executar arquivo interativamente

x

x

x

Editar arquivo

x

x

Modificar permissões

x

ACLs de pasta

Função

No Permissions

Pode ler

Pode editar

Pode executar

Can Manage (Pode gerenciar)

Listar objetos na pasta

x

x

x

x

x

view objetos na pasta

x

x

x

x

Clonar e exportar itens

x

x

x

objetos de execução na pasta

x

x

Criar, importar e excluir itens

x

Mover e renomear itens

x

Modificar permissões

x

ACLs espaciais do Genie

Função

No Permissions

CAN VIEW/CAN RUN

Pode editar

Can Manage (Pode gerenciar)

Veja em genie a lista de espaços

x

x

x

x

Faça perguntas ao site genie

x

x

x

Fornecer feedback de resposta

x

x

x

Adicionar ou editar as instruções do site genie

x

x

Adicionar ou editar exemplos de perguntas

x

x

Adicionar ou remover tabelas incluídas

x

x

Monitorar um espaço

x

Modificar permissões

x

Excluir espaço

x

visualizar as conversas de outros usuários

x

ACLs de pastas do Git

Função

No Permissions

Pode ler

Pode executar

Pode editar

Can Manage (Pode gerenciar)

Listar ativo em uma pasta

x

x

x

x

x

view ativo em uma pasta

x

x

x

x

Clonar e exportar ativo

x

x

x

x

execução executável ativo na pasta

x

x

x

Editar e renomear ativos em uma pasta

x

x

Criar uma ramificação em uma pasta

x

Puxar ou empurrar um ramo para uma pasta

x

Criar, importar, excluir e mover o ativo

x

Modificar permissões

x

Job ACLs

Função

No Permissions

Pode ver

Pode gerenciar a execução

É o proprietário

Can Manage (Pode gerenciar)

Ver detalhes e configurações do trabalho

x

x

x

x

view resultados

x

x

x

x

view Spark UI, logs de uma Job execução

x

x

x

Executar agora

x

x

x

Cancelar execução

x

x

x

Editar configurações de trabalho

x

x

Excluir job

x

x

Modificar permissões

x

x

ACLs de experimentos do MLflow

Função

No Permissions

Pode ler

Pode editar

Can Manage (Pode gerenciar)

view execução info search compare execução

x

x

x

view, lista e download artefatos de execução

x

x

x

Criar, excluir e restaurar a execução

x

x

log execução params, métricas, tags

x

x

log artefatos de execução

x

x

Editar tags de experimentos

x

x

Purgar execução e experimentos

x

Modificar permissões

x

ACLs do modelo MLflow

Esta tabela descreve como controlar o acesso a modelos registrados no espaço de trabalho que não estão habilitados para Unity Catalog. Se o site workspace estiver habilitado para Unity Catalog, use os privilégios deUnity Catalog .

Função

No Permissions

Pode ler

Pode editar

CAN MANAGE STAGING VERSIONS

CAN MANAGE PRODUCTION VERSIONS

Can Manage (Pode gerenciar)

view Detalhes do modelo, versões, solicitações de transição de estágio, atividades e artefatos download URIs

x

x

x

x

x

Solicitar uma versão do modelo de transição de estágio

x

x

x

x

x

Adicionar uma versão a um modelo

x

x

x

x

Atualizar a descrição do modelo e da versão

x

x

x

x

Adicionar ou editar tags

x

x

x

x

Versão do modelo de transição entre os estágios

x

x

x

Aprovar uma solicitação de transição

x

x

x

Cancelar uma solicitação de transição

x

Renomear modelo

x

Modificar permissões

x

Excluir modelo e versões de modelo

x

Notebook ACLs

Função

No Permissions

Pode ler

Pode executar

Pode editar

Can Manage (Pode gerenciar)

view células

x

x

x

x

Comentário

x

x

x

x

execução via %run ou Notebook fluxo de trabalho

x

x

x

x

Anexar e desanexar o Notebook

x

x

x

execução comando

x

x

x

Editar células

x

x

Modificar permissões

x

ACLs de pool

Função

No Permissions

Can Attach To (Pode anexar a)

Can Manage (Pode gerenciar)

Anexar o cluster ao pool

x

x

Excluir pool

x

Editar pool

x

Modificar permissões

x

Consultar ACLs

Função

No Permissions

Pode ver

Pode executar

Pode editar

Can Manage (Pode gerenciar)

view consultas próprias

x

x

x

x

Ver na lista de consultas

x

x

x

x

view texto da consulta

x

x

x

x

view resultado da consulta

x

x

x

x

refresh resultado da consulta (ou escolha parâmetros diferentes)

x

x

x

Incluir a consulta em um dashboard

x

x

x

Editar o texto da consulta

x

x

Alterar SQL warehouse ou fonte de dados

x

Modificar permissões

x

Excluir consulta

x

ACLs secretas

Função

Ler

Gravar

gerenciar

Leia o Secret Scope

x

x

x

Listar segredos no escopo

x

x

x

Escreva para o Secret Scope

x

x

Modificar permissões

x

Servindo ACLs de ponto de extremidade

Função

No Permissions

Pode ver

CAN QUERY

Can Manage (Pode gerenciar)

Obter endpoint

x

x

x

Listar endpoint

x

x

x

Endpoint da query

x

x

Atualizar a configuração do endpoint

x

Excluir endpoint

x

Modificar permissões

x

SQL warehouse ACLs

Função

No Permissions

Pode usar

MONITOR DE CAN

É o proprietário

Can Manage (Pode gerenciar)

começar o armazém

x

x

x

x

view detalhes do depósito

x

x

x

x

view consultas ao depósito

x

x

x

execução de consultas

x

x

x

x

view monitoramento de armazém tab

x

x

x

Parar o armazém

x

x

Excluir o depósito

x

x

Editar o depósito

x

x

Modificar permissões

x

x