Daftar kontrol akses
Artikel ini menjelaskan detail tentang izin yang tersedia untuk objek ruang kerja yang berbeda.
Catatan
Kontrol akses memerlukan paket Premium.
Pengaturan kontrol akses dinonaktifkan secara default pada ruang kerja yang ditingkatkan dari paket Standar ke paket Premium. Setelah pengaturan kontrol akses diaktifkan, pengaturan tersebut tidak dapat dinonaktifkan. Untuk informasi selengkapnya, lihat Daftar kontrol akses dapat diaktifkan pada ruang kerja yang dimutakhirkan.
Gambaran umum daftar kontrol akses
Di Azure Databricks, Anda dapat menggunakan daftar kontrol akses (ACL) untuk mengonfigurasi izin untuk mengakses objek tingkat ruang kerja. Admin ruang kerja memiliki izin CAN MANAGE pada semua objek di ruang kerja mereka, yang memberi mereka kemampuan untuk mengelola izin pada semua objek di ruang kerja mereka. Pengguna secara otomatis memiliki izin CAN MANAGE untuk objek yang mereka buat.
Untuk contoh cara memetakan persona yang umum ke izin pada tingkat ruang kerja, silakan lihat Proposal untuk Memulai Grup dan Izin Databricks.
Mengelola daftar kontrol akses dengan folder
Anda dapat mengelola izin objek ruang kerja dengan menambahkan objek ke folder. Objek dalam folder mewarisi semua pengaturan izin folder tersebut. Misalnya, pengguna yang memiliki izin CAN RUN pada sebuah folder memiliki izin CAN RUN pada pemberitahuan di dalam folder tersebut.
Jika Anda memberi pengguna akses ke objek di dalam folder, mereka dapat melihat nama folder induk, bahkan jika mereka tidak memiliki izin pada folder induk. Misalnya, buku catatan bernama test1.py berada dalam folder bernama Workflows. Jika Anda memberikan izin MEMBACA kepada pengguna pada test1.py dan tidak memberikan izin apapun pada Workflows, pengguna masih dapat melihat bahwa folder induknya diberi nama Workflows. Pengguna tidak dapat melihat atau mengakses objek lain dalam folder kecuali mereka telah diberikan izin pada objek tersebut Workflows .
Untuk mempelajari cara mengatur objek ke dalam folder, lihat peramban ruang kerja.
Dasbor AI/BI ACL
| Kemampuan | TIDAK ADA IZIN | BISA MELIHAT/BISA MENJALANKAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|
| Melihat dasbor dan hasil | x | x | x | |
| Berinteraksi dengan widget | x | x | x | |
| Segarkan beranda | x | x | x | |
| Edit dashboard | x | x | ||
| Dasbor klon | x | x | x | |
| Menerbitkan cuplikan dasbor | x | x | ||
| Ubah izin | x | |||
| Menghapus dasbor | x |
ACL Pemberitahuan
| Kemampuan | TIDAK ADA IZIN | DAPAT BERJALAN | DAPAT MENGELOLA |
|---|---|---|---|
| Lihat dalam daftar peringatan | x | x | |
| Melihat peringatan dan hasil | x | x | |
| Memicu proses peringatan secara manual | x | x | |
| Berlangganan pemberitahuan | x | x | |
| Edit peringatan | x | ||
| Ubah izin | x | ||
| Menghapus peringatan | x |
ACL komputasi
Penting
Pengguna dengan izin CAN ATTACH TO dapat melihat kunci akun layanan dalam file log4j. Waspadalah saat memberikan tingkat izin ini.
| Kemampuan | TIDAK ADA IZIN | DAPAT MELAMPIRKAN KE | DAPAT MEMULAI ULANG | DAPAT MENGELOLA |
|---|---|---|---|---|
| Melampirkan buku catatan ke komputasi | x | x | x | |
| Lihat UI Spark | x | x | x | |
| Menampilkan metrik komputasi | x | x | x | |
| Mengakhiri komputasi | x | x | ||
| Memulai dan memulai ulang komputasi | x | x | ||
| Lihat log driver | x (lihat catatan) | |||
| Mengedit proses komputasi | x | |||
| Lampirkan pustaka ke lingkungan komputasi | x | |||
| Mengubah ukuran komputasi | x | |||
| Ubah izin | x |
Catatan
Rahasia tidak diredaksi dari log dan aliran driver Spark kluster. Untuk melindungi data sensitif, secara default, log driver Spark hanya dapat dilihat oleh pengguna dengan izin CAN MANAGE pada pekerjaan, mode akses khusus, dan kluster mode akses standar. Untuk mengizinkan pengguna dengan izin CAN ATTACH TO atau CAN RESTART untuk melihat log pada kluster ini, atur properti konfigurasi Spark berikut dalam konfigurasi kluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
Pada kluster Mode akses bersama Tanpa Isolasi, log driver Spark dapat dilihat oleh pengguna dengan izin CAN ATTACH TO atau CAN MANAGE. Untuk membatasi siapa yang dapat membaca log hanya untuk pengguna dengan izin CAN MANAGE, atur spark.databricks.acl.needAdminPermissionToViewLogs ke true.
Lihat Konfigurasi Spark untuk mempelajari cara menambahkan properti Spark ke konfigurasi kluster.
ACL dasbor warisan
| Kemampuan | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Lihat di daftar dasbor | x | x | x | x | |
| Melihat dasbor dan hasil | x | x | x | x | |
| Perbarui hasil kueri di dasbor (atau pilih parameter lain) | x | x | x | ||
| Edit dasbor | x | x | |||
| Ubah izin | x | ||||
| Menghapus dasbor | x |
Mengedit papan kontrol warisan memerlukan pengaturan berbagi Jalankan sebagai penampil. Lihat Perilaku Penyegaran dan Konteks Eksekusi.
ACL alur proses DLT
| Kemampuan | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT BERJALAN | DAPAT MENGELOLA | ADALAH PEMILIK |
|---|---|---|---|---|---|
| Melihat detail alur kerja dan daftar alur kerja | x | x | x | x | |
| Melihat UI Spark dan log driver | x | x | x | x | |
| Memulai dan menghentikan pembaruan alur | x | x | x | ||
| Hentikan kluster alur secara langsung | x | x | x | ||
| Mengedit pengaturan pipeline | x | x | |||
| Menghapus alur | x | x | |||
| Pembersihan pelaksanaan dan eksperimen | x | x | |||
| Ubah izin | x | x |
ACL tabel fitur
Tabel ini menjelaskan cara mengontrol akses ke tabel fitur di ruang kerja yang tidak diaktifkan untuk Katalog Unity. Jika ruang kerja Anda diaktifkan untuk Katalog Unity, gunakan hak istimewa Katalog Unity sebagai gantinya.
Catatan
- Kontrol akses pada Feature Store tidak mengatur akses ke tabel Delta yang mendasari, karena akses ini diatur oleh kontrol akses tabel.
- Untuk informasi selengkapnya tentang izin tabel fitur ruang kerja, lihat Mengontrol akses ke tabel fitur di Penyimpanan Fitur Ruang Kerja (warisan).
| Kemampuan | DAPAT MELIHAT METADATA | DAPAT MENGEDIT METADATA | DAPAT MENGELOLA |
|---|---|---|---|
| Membaca tabel fitur | X | X | X |
| Mencari tabel fitur | X | X | X |
| Menerbitkan tabel fitur ke toko online | X | X | X |
| Menulis fitur ke tabel fitur | X | X | |
| Memperbarui deskripsi tabel fitur | X | X | |
| Ubah izin | X | ||
| Menghapus tabel fitur | X |
File ACL
| Kemampuan | TIDAK ADA IZIN | DAPAT MEMBACA | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Membaca file | x | x | x | x | |
| Komentar | x | x | x | x | |
| Lampirkan dan lepaskan file | x | x | x | ||
| Jalankan file secara interaktif | x | x | x | ||
| Edit file | x | x | |||
| Ubah izin | x |
ACL untuk Folder
| Kemampuan | TIDAK ADA IZIN | DAPAT MEMBACA | DAPAT MENGEDIT | DAPAT BERJALAN | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Mencantumkan objek dalam folder | x | x | x | x | x |
| Menampilkan objek dalam folder | x | x | x | x | |
| Menggandakan dan mengekspor item | x | x | x | ||
| Jalankan objek dalam folder | x | x | |||
| Membuat, mengimpor, dan menghapus item | x | ||||
| Memindahkan dan mengganti nama item | x | ||||
| Ubah izin | x |
ACL ruang genie
| Kemampuan | TIDAK ADA IZIN | BISA MELIHAT/BISA MENJALANKAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|
| Lihat daftar ruang di Genie | x | x | x | x |
| Ajukan pertanyaan kepada Genie | x | x | x | |
| Berikan umpan balik respons | x | x | x | |
| Menambahkan atau mengedit instruksi Genie | x | x | ||
| Menambahkan atau mengedit pertanyaan sampel | x | x | ||
| Menambahkan atau menghapus tabel yang disertakan | x | x | ||
| Memantau ruang | x | |||
| Ubah izin | x | |||
| Hapus spasi | x | |||
| Menampilkan percakapan pengguna lain | x | x |
Folder Git ACL
| Kemampuan | TIDAK ADA IZIN | DAPAT MEMBACA | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Mencantumkan aset dalam folder | x | x | x | x | x |
| Menampilkan aset dalam folder | x | x | x | x | |
| Mengkloning dan mengekspor aset | x | x | x | x | |
| Jalankan aset yang dapat dieksekusi dalam folder | x | x | x | ||
| Mengedit dan mengganti nama aset dalam folder | x | x | |||
| Membuat cabang dalam folder | x | ||||
| Menarik atau mendorong cabang ke dalam folder | x | ||||
| Membuat, mengimpor, menghapus, dan memindahkan aset | x | ||||
| Ubah izin | x |
ACL (Daftar Kontrol Akses) Pekerjaan
| Kemampuan | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT MENGELOLA PELAKSANAAN | ADALAH PEMILIK | DAPAT MENGATUR |
|---|---|---|---|---|---|
| Lihat detail dan pengaturan pekerjaan | x | x | x | x | |
| Melihat hasil | x | x | x | x | |
| Menampilkan UI Spark, log pekerjaan yang dijalankan | x | x | x | ||
| Jalankan sekarang | x | x | x | ||
| Batalkan eksekusi | x | x | x | ||
| Edit pengaturan pekerjaan | x | x | |||
| Menghapus pekerjaan | x | x | |||
| Ubah izin | x | x |
ACL untuk eksperimen MLflow
ACL eksperimen MLflow berbeda untuk eksperimen notebook dan eksperimen ruang kerja. Eksperimen buku catatan tidak dapat dikelola secara independen dari buku catatan yang membuatnya, sehingga izinnya mirip dengan izin buku catatan. Untuk mempelajari selengkapnya tentang dua jenis eksperimen, lihat Mengatur eksekusi pelatihan dengan eksperimen MLflow.
Daftar Kontrol Akses (ACL) untuk eksperimen notebook
Mengubah izin ini juga memodifikasi izin pada buku catatan yang sesuai dengan eksperimen.
| Kemampuan | TIDAK ADA IZIN | DAPAT MEMBACA | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Menampilkan buku catatan | x | x | x | x | |
| Mengomentari buku catatan | x | x | x | x | |
| Melampirkan/melepaskan notebook ke komputasi | x | x | x | ||
| Menjalankan perintah di buku catatan | x | x | x | ||
| Mengedit buku catatan | x | x | |||
| Ubah izin | x |
ACL untuk eksperimen di lingkungan kerja
| Kemampuan | TIDAK ADA IZIN | DAPAT MEMBACA | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|
| Lihat eksperimen | x | x | x | |
| Pencatatan log untuk eksperimen | x | x | ||
| Menyunting eksperimen | x | x | ||
| Menghapus eksperimen | x | |||
| Ubah izin | x |
Model MLflow ACL
Tabel ini menjelaskan cara mengontrol akses ke model terdaftar di ruang kerja yang tidak diaktifkan untuk Katalog Unity. Jika ruang kerja Anda diaktifkan untuk Katalog Unity, gunakan hak istimewa Katalog Unity sebagai gantinya.
| Kemampuan | TIDAK ADA IZIN | DAPAT MEMBACA | DAPAT MENGEDIT | DAPAT MENGELOLA VERSI PENAHAPAN | DAPAT MENGELOLA VERSI PRODUKSI | DAPAT MENGELOLA |
|---|---|---|---|---|---|---|
| Melihat detail model, versi, permintaan transisi tahap, aktivitas, dan URI unduhan artefak | x | x | x | x | x | |
| Meminta transisi tahap versi model | x | x | x | x | x | |
| Menambahkan versi ke model | x | x | x | x | ||
| Memperbarui model dan deskripsi versi | x | x | x | x | ||
| Menambahkan atau mengedit tag | x | x | x | x | ||
| Versi model transisi antar tahap | x | x | x | |||
| Menyetujui permintaan transisi | x | x | x | |||
| Membatalkan permintaan transisi | x | |||||
| Mengganti nama model | x | |||||
| Ubah izin | x | |||||
| Menghapus model dan versi model | x |
ACL Buku Catatan
| Kemampuan | TIDAK ADA IZIN | DAPAT MEMBACA | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Lihat sel | x | x | x | x | |
| Komentar | x | x | x | x | |
| Jalankan menggunakan alur kerja %run atau buku catatan | x | x | x | x | |
| Pasang dan pisahkan notebook | x | x | x | ||
| Jalankan perintah | x | x | x | ||
| Mengedit sel | x | x | |||
| Ubah izin | x |
ACL kumpulan
| Kemampuan | TIDAK ADA IZIN | DAPAT MELAMPIRKAN KE | DAPAT MENGELOLA |
|---|---|---|---|
| Menghubungkan kluster ke kumpulan | x | x | |
| Menghapus kumpulan | x | ||
| Mengedit kumpulan | x | ||
| Ubah izin | x |
Permintaan ACL
| Kemampuan | TIDAK ADA IZIN | DAPAT MELIHAT | DAPAT BERJALAN | DAPAT MENGEDIT | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Menampilkan kueri sendiri | x | x | x | x | |
| Lihat dalam daftar pertanyaan | x | x | x | x | |
| Melihat teks kueri | x | x | x | x | |
| Melihat hasil kueri | x | x | x | x | |
| Me-refresh hasil kueri (atau pilih parameter yang berbeda) | x | x | x | ||
| Sertakan kueri di dalam dasbor | x | x | x | ||
| Mengedit teks kueri | x | x | |||
| Mengubah gudang SQL atau sumber data | x | ||||
| Ubah izin | x | ||||
| Menghapus kueri | x |
ACL Rahasia
| Kemampuan | BACA | TULIS | KELOLA |
|---|---|---|---|
| Membaca lingkup rahasia | x | x | x |
| Mencantumkan rahasia dalam cakupan | x | x | x |
| Menulis ke lingkup rahasia | x | x | |
| Ubah izin | x |
ACL titik akhir layanan
| Kemampuan | TIDAK ADA IZIN | DAPAT MELIHAT | BISA MENGKUERI | DAPAT MENGELOLA |
|---|---|---|---|---|
| Mendapatkan titik akhir | x | x | x | |
| Mencantumkan titik akhir | x | x | x | |
| Titik akhir kueri | x | x | ||
| Memperbarui konfigurasi titik akhir | x | |||
| Menghapus titik akhir | x | |||
| Ubah izin | x |
Kontrol Akses Gudang Data SQL
| Kemampuan | TIDAK ADA IZIN | BISA MENGGUNAKAN | DAPAT MEMANTAU | ADALAH PEMILIK | DAPAT MENGELOLA |
|---|---|---|---|---|---|
| Memulai gudang | x | x | x | x | |
| Melihat detail gudang | x | x | x | x | |
| Menampilkan kueri gudang | x | x | x | ||
| Jalankan Kueri | x | x | x | x | |
| Lihat tab pemantauan gudang | x | x | x | ||
| Hentikan gudang | x | x | |||
| Menghapus gudang | x | x | |||
| Mengedit gudang | x | x | |||
| Ubah izin | x | x |
ACL titik akhir pencarian vektor
| Kemampuan | TIDAK ADA IZIN | DAPAT MEMBUAT | DAPAT MENGGUNAKAN | DAPAT MENGELOLA |
|---|---|---|---|---|
| Mendapatkan titik akhir | x | x | x | |
| Mencantumkan titik akhir | x | x | x | |
| Membuat titik akhir | x | x | x | |
| Gunakan titik akhir (buat indeks) | x | x | ||
| Menghapus titik akhir | x | |||
| Ubah izin | x |