Toegangsbeheerlijsten
In dit artikel worden details beschreven over de machtigingen die beschikbaar zijn voor de verschillende werkruimteobjecten.
Notitie
Voor toegangsbeheer is het Premium-abonnement vereist.
Instellingen voor toegangsbeheer zijn standaard uitgeschakeld voor werkruimten die worden bijgewerkt van het Standard-abonnement naar het Premium-abonnement. Zodra een instelling voor toegangsbeheer is ingeschakeld, kan deze niet worden uitgeschakeld. Voor meer informatie, zie Toegangsbeheerlijsten kunnen worden ingeschakeld voor bijgewerkte werkruimten.
Overzicht van toegangsbeheerlijsten
In Azure Databricks kunt u toegangsbeheerlijsten (ACL's) gebruiken om machtigingen te configureren voor toegang tot objecten op werkruimteniveau. Werkruimtebeheerders hebben de machtiging CAN MANAGE voor alle objecten in hun werkruimte, waardoor ze machtigingen voor alle objecten in hun werkruimten kunnen beheren. Gebruikers hebben automatisch de machtiging CAN MANAGE voor objecten die ze maken.
Zie voor een voorbeeld van het toewijzen van typische persona's aan machtigingen op werkruimteniveau het Voorstel voor Aan de slag met Databricks-groepen en -machtigingen.
Toegangsbeheerlijsten beheren met mappen
U kunt machtigingen voor werkruimteobjecten beheren door objecten toe te voegen aan mappen. Objecten in een map nemen alle machtigingsinstellingen van die map over. Een gebruiker met de machtiging CAN RUN voor een map heeft CAN RUN-machtiging voor de waarschuwingen in die map.
Als u een gebruiker toegang verleent tot een object in de map, kan deze de naam van de bovenliggende map bekijken, zelfs als deze geen machtigingen heeft voor de bovenliggende map. Een notitieblok met de naam test1.py bevindt zich bijvoorbeeld in een map met de naam Workflows. Als u een gebruiker leesrechten verleent op test1.py en geen machtigingen voor Workflows, kan de gebruiker zien dat de bovenliggende map de naam Workflowsheeft. De gebruiker kan geen andere objecten in de Workflows map weergeven of openen, tenzij hij of zij machtigingen heeft gekregen.
Zie de werkruimtebrowser voor meer informatie over het ordenen van objecten in mappen.
AI/BI-dashboard ACLs
| Vermogen | GEEN RECHTEN | KAN WEERGEVEN/KAN UITVOEREN | KAN BEWERKEN | KAN BEHEREN |
|---|---|---|---|---|
| Dashboard en resultaten weergeven | x | x | x | |
| Interactie met widgets | x | x | x | |
| Het dashboard vernieuwen | x | x | x | |
| Dashboard bewerken | x | x | ||
| Dashboard klonen | x | x | x | |
| Momentopname van dashboard publiceren | x | x | ||
| Machtigingen wijzigen | x | |||
| Dashboard verwijderen | x |
ACL's voor waarschuwingen
| Vermogen | GEEN RECHTEN | KAN DRAAIEN | KAN BEHEREN |
|---|---|---|---|
| Zie in waarschuwingenlijst | x | x | |
| Waarschuwing en resultaat weergeven | x | x | |
| Waarschuwingsuitvoering handmatig activeren | x | x | |
| Abonneren op meldingen | x | x | |
| Waarschuwing bewerken | x | ||
| Machtigingen wijzigen | x | ||
| Waarschuwing verwijderen | x |
Reken-ACL's
Belangrijk
Gebruikers met CAN ATTACH TO-machtigingen kunnen de serviceaccountsleutels in het log4j-bestand weergeven. Wees voorzichtig bij het verlenen van dit machtigingsniveau.
| Vermogen | GEEN MACHTIGINGEN | KAN WORDEN GEKOPPELD AAN | KAN OPNIEUW WORDEN OPGESTART | KAN BEHEREN |
|---|---|---|---|---|
| Notebook koppelen aan berekening | x | x | x | |
| Spark-gebruikersinterface weergeven | x | x | x | |
| Metrische rekengegevens weergeven | x | x | x | |
| Rekenproces beëindigen | x | x | ||
| Rekenproces starten en opnieuw starten | x | x | ||
| Driverlogboeken weergeven | x (zie opmerking) | |||
| Berekening bewerken | x | |||
| Bibliotheek koppelen aan computeren | x | |||
| Rekenkracht aanpassen | x | |||
| Machtigingen wijzigen | x |
Notitie
Geheimen worden niet verwijderd uit een cluster's Spark-stuurprogrammalogboek stdout en stderr streams. Om gevoelige gegevens te beveiligen, kunnen spark-stuurprogrammalogboeken standaard alleen worden weergegeven door gebruikers met de machtiging CAN MANAGE voor taken, toegewezen toegangsmodus en clusters in de standaardtoegangsmodus. Als u wilt dat gebruikers met de machtiging CAN ATTACH TO of CAN RESTART hebben om de logboeken op deze clusters weer te geven, stelt u de volgende Spark-configuratie-eigenschap in de clusterconfiguratie in: spark.databricks.acl.needAdminPermissionToViewLogs false.
In clusters in de modus Geen isolatie voor gedeelde toegang kunnen de Spark-stuurprogrammalogboeken worden bekeken door gebruikers met de machtiging CAN ATTACH TO of CAN MANAGE. Als u wilt beperken wie de logboeken kan lezen voor alleen gebruikers met de machtiging CAN MANAGE, stelt u spark.databricks.acl.needAdminPermissionToViewLogs in op true.
Bekijk Spark-configuratie voor meer informatie over het toevoegen van Spark-eigenschappen aan een clusterconfiguratie.
Verouderde dashboard-ACL's
| Vermogen | GEEN TOESTEMMINGEN | KAN WEERGEVEN | KAN UITVOEREN | KAN BEWERKEN | KAN BEHEREN |
|---|---|---|---|---|---|
| Lijst in dashboard weergeven | x | x | x | x | |
| Dashboard en resultaten weergeven | x | x | x | x | |
| Queryresultaten vernieuwen in het dashboard (of verschillende parameters kiezen) | x | x | x | ||
| Dashboard bewerken | x | x | |||
| Machtigingen wijzigen | x | ||||
| Dashboard verwijderen | x |
Voor het bewerken van een verouderd dashboard is het delen met de instelling Uitvoeren als viewer vereist. Zie Gedrag en uitvoeringscontext vernieuwen.
DLT-Pijplijn ACLs
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN DRAAIEN | KAN BEHEREN | IS EIGENAAR |
|---|---|---|---|---|---|
| Pijplijndetails en lijstpijplijn weergeven | x | x | x | x | |
| Spark-gebruikersinterface en logboeken van stuurprogramma's weergeven | x | x | x | x | |
| Een pijplijnupdate starten en stoppen | x | x | x | ||
| Pijplijnclusters rechtstreeks stoppen | x | x | x | ||
| Pijplijninstellingen bewerken | x | x | |||
| De pijplijn verwijderen | x | x | |||
| Uitvoeringen en experimenten opschonen | x | x | |||
| Machtigingen wijzigen | x | x |
ACL's voor functietabellen
In deze tabel wordt beschreven hoe u de toegang tot functietabellen in werkruimten beheert die niet zijn ingeschakeld voor Unity Catalog. Als uw werkruimte is ingeschakeld voor Unity Catalog, gebruikt u in plaats daarvan Unity Catalog-bevoegdheden.
Notitie
- Het toegangsbeheer van Feature Store bepaalt geen toegang tot de onderliggende Delta-tabel, die wordt beheerd door toegangsbeheer voor tabellen.
- Voor meer informatie over machtigingen voor werkruimte-functietabellen, zie Toegang tot functietabellen beheren in de werkruimtefeaturestore (verouderd).
| Vermogen | KAN METAGEGEVENS WEERGEVEN | KAN METAGEGEVENS BEWERKEN | KAN BEHEREN |
|---|---|---|---|
| Functietabel lezen | X | X | X |
| Zoekfunctietabel | X | X | X |
| Functietabel publiceren in de online winkel | X | X | X |
| Functies schrijven naar functietabel | X | X | |
| Beschrijving van functietabel bijwerken | X | X | |
| Machtigingen wijzigen | X | ||
| Functietabel verwijderen | X |
Bestands-ACLs
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN UITGEVOERD WORDEN | KAN BEWERKEN | KAN BEHEREN |
|---|---|---|---|---|---|
| Bestand lezen | x | x | x | x | |
| Opmerking | x | x | x | x | |
| Bestand bijvoegen en loskoppelen | x | x | x | ||
| Bestand interactief uitvoeren | x | x | x | ||
| Bestand bewerken | x | x | |||
| Machtigingen wijzigen | x |
Map-ACLs
| Vermogen | GEEN TOESTEMMINGEN | KAN LEZEN | KAN BEWERKEN | KAN UITVOEREN | KAN BEHEREN |
|---|---|---|---|---|---|
| Objecten in map weergeven | x | x | x | x | x |
| Objecten in map weergeven | x | x | x | x | |
| Items klonen en exporteren | x | x | x | ||
| Objecten uitvoeren in de map | x | x | |||
| Items maken, importeren en verwijderen | x | ||||
| Items verplaatsen en de naam ervan wijzigen | x | ||||
| Machtigingen wijzigen | x |
Genie-ruimte-ACL's
| Vermogen | GEEN TOESTEMMINGEN | KAN WEERGEVEN/KAN UITVOEREN | KAN BEWERKEN | KAN BEHEREN |
|---|---|---|---|---|
| Zie in de ruimtelijst in Genie | x | x | x | x |
| Vragen stellen aan Genie | x | x | x | |
| Geef feedback op reacties | x | x | x | |
| Genie-instructies toevoegen of bewerken | x | x | ||
| Voorbeeldvragen toevoegen of bewerken | x | x | ||
| Opgenomen tabellen toevoegen of verwijderen | x | x | ||
| Een ruimte bewaken | x | |||
| Machtigingen wijzigen | x | |||
| Ruimte verwijderen | x | |||
| Gesprekken van andere gebruikers weergeven | x | x |
Git-map-ACLs
| Vermogen | GEEN TOESTEMMINGEN | KAN LEZEN | KAN DRAAIEN | KAN BEWERKEN | KAN BEHEREN |
|---|---|---|---|---|---|
| Assets in een map oplijsten | x | x | x | x | x |
| Assets in een map weergeven | x | x | x | x | |
| Assets klonen en exporteren | x | x | x | x | |
| Uitvoerbare assets uitvoeren in map | x | x | x | ||
| Assets in een map bewerken en de naam ervan wijzigen | x | x | |||
| Een tak maken in een map | x | ||||
| Een branch naar een map pullen of pushen | x | ||||
| Assets maken, importeren, verwijderen en verplaatsen | x | ||||
| Machtigingen wijzigen | x |
Taak-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN UITVOERING BEHEREN | IS EIGENAAR | KAN BEHEREN |
|---|---|---|---|---|---|
| Taakdetails en -instellingen weergeven | x | x | x | x | |
| Resultaten weergeven | x | x | x | x | |
| Spark-gebruikersinterface, logboeken van een taakuitvoering weergeven | x | x | x | ||
| Ren nu | x | x | x | ||
| Uitvoering annuleren | x | x | x | ||
| Taakinstellingen bewerken | x | x | |||
| Taak verwijderen | x | x | |||
| Machtigingen wijzigen | x | x |
MLflow experiment ACLs
MLflow-experiment-ACL's zijn verschillend voor notebookexperimenten en werkruimteexperimenten. Notebookexperimenten kunnen niet onafhankelijk van het notitieblok worden beheerd dat ze heeft gemaakt, zodat de machtigingen vergelijkbaar zijn met notitieblokmachtigingen. Zie Trainingsuitvoeringen organiseren met MLflow-experimentenvoor meer informatie over de twee typen experimenten.
ACLs voor notebook-experimenten
Als u deze machtigingen wijzigt, worden ook de machtigingen voor het notitieblok gewijzigd dat overeenkomt met het experiment.
| Vermogen | GEEN TOESTEMMINGEN | KAN LEZEN | KAN DRAAIEN | KAN BEWERKEN | KAN BEHEREN |
|---|---|---|---|---|---|
| Notebook weergeven | x | x | x | x | |
| Opmerking op notitieboek | x | x | x | x | |
| Notebook koppelen/loskoppelen om te berekenen | x | x | x | ||
| Opdrachten uitvoeren in het notebook | x | x | x | ||
| Notitieblok bewerken | x | x | |||
| Machtigingen wijzigen | x |
ACL's voor werkruimteexperimenten
| Vermogen | GEEN TOESTEMMINGEN | KAN LEZEN | KAN BEWERKEN | KAN BEHEREN |
|---|---|---|---|---|
| Experiment weergeven | x | x | x | |
| Logboekruns van het experiment | x | x | ||
| Het experiment bewerken | x | x | ||
| Het experiment verwijderen | x | |||
| Machtigingen wijzigen | x |
MLflow-model-ACLs
In deze tabel wordt beschreven hoe u de toegang tot geregistreerde modellen beheert in werkruimten die niet zijn ingeschakeld voor Unity Catalog. Als uw werkruimte is ingeschakeld voor Unity Catalog, gebruikt u in plaats daarvan Unity Catalog-bevoegdheden.
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN BEWERKEN | KAN TESTVERSIES BEHEREN | KAN PRODUCTIEVERSIES BEHEREN | KAN BEHEREN |
|---|---|---|---|---|---|---|
| Modeldetails, versies, faseovergangsaanvragen, activiteiten en download-URI's voor artefacten weergeven | x | x | x | x | x | |
| De overgang van een modelversiefase aanvragen | x | x | x | x | x | |
| Een versie toevoegen aan een model | x | x | x | x | ||
| Beschrijving van model en versie bijwerken | x | x | x | x | ||
| Tags toevoegen of bewerken | x | x | x | x | ||
| Overgangsmodelversie tussen fasen | x | x | x | |||
| Een overgangsaanvraag goedkeuren | x | x | x | |||
| Een overgangsaanvraag annuleren | x | |||||
| Naam van model wijzigen | x | |||||
| Machtigingen wijzigen | x | |||||
| Model- en modelversies verwijderen | x |
Notebook-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN LEZEN | KAN LOPEN | KAN BEWERKEN | KAN BEHEREN |
|---|---|---|---|---|---|
| Cellen weergeven | x | x | x | x | |
| Opmerking | x | x | x | x | |
| Uitvoeren met behulp van %run- of notebookwerkstromen | x | x | x | x | |
| Notitieblokken koppelen en loskoppelen | x | x | x | ||
| Opdrachten uitvoeren | x | x | x | ||
| Cellen bewerken | x | x | |||
| Machtigingen wijzigen | x |
Pool-ACLs
| Vermogen | GEEN TOEGANG | KAN WORDEN GEKOPPELD AAN | KAN BEHEREN |
|---|---|---|---|
| Cluster koppelen aan pool | x | x | |
| Pool verwijderen | x | ||
| Pool bewerken | x | ||
| Machtigingen wijzigen | x |
Query-ACL's
| Vermogen | GEEN MACHTIGINGEN | KAN WEERGEVEN | KAN UITVOEREN | KAN BEWERKEN | KAN BEHEREN |
|---|---|---|---|---|---|
| Mijn eigen zoekopdrachten weergeven | x | x | x | x | |
| Zie in de querylijst. | x | x | x | x | |
| Querytekst weergeven | x | x | x | x | |
| Queryresultaat weergeven | x | x | x | x | |
| Queryresultaat vernieuwen (of verschillende parameters kiezen) | x | x | x | ||
| De query opnemen in een dashboard | x | x | x | ||
| Querytekst bewerken | x | x | |||
| SQL Warehouse of een gegevensbron wijzigen | x | ||||
| Machtigingen wijzigen | x | ||||
| Query verwijderen | x |
Geheime ACL's
| Vermogen | LEZEN | SCHRIJVEN | BEHEREN |
|---|---|---|---|
| De geheime omvang lezen | x | x | x |
| Geheimen in de context weergeven | x | x | x |
| Schrijven naar het geheime bereik | x | x | |
| Machtigingen wijzigen | x |
Dienstverlening van eindpunt-ACL's
| Vermogen | GEEN RECHTEN | KAN WEERGEVEN | KAN QUERY'S UITVOEREN | KAN BEHEREN |
|---|---|---|---|---|
| Eindpunt ophalen | x | x | x | |
| Eindpunt weergeven | x | x | x | |
| Query-eindpunt | x | x | ||
| Eindpuntconfiguratie bijwerken | x | |||
| Eindpunt verwijderen | x | |||
| Machtigingen wijzigen | x |
SQL Warehouse-ACL's
| Vermogen | GEEN RECHTEN | KAN GEBRUIKT WORDEN | KAN BEWAKEN | IS EIGENAAR | KAN BEHEREN |
|---|---|---|---|---|---|
| Het magazijn starten | x | x | x | x | |
| Magazijndetails weergeven | x | x | x | x | |
| Magazijnqueries bekijken | x | x | x | ||
| Queries uitvoeren | x | x | x | x | |
| Tabblad Bewaking van magazijn weergeven | x | x | x | ||
| Het magazijn stoppen | x | x | |||
| Het magazijn verwijderen | x | x | |||
| Het magazijn bewerken | x | x | |||
| Machtigingen wijzigen | x | x |
Eindpunt-ACL's voor vectorzoekopdrachten
| Vermogen | GEEN TOESTEMMINGEN | KAN CREËREN | KAN GEBRUIKEN | KAN BEHEREN |
|---|---|---|---|---|
| Endpoint ophalen | x | x | x | |
| Eindpunten vermelden | x | x | x | |
| Eindpunt maken | x | x | x | |
| Eindpunt gebruiken (index maken) | x | x | ||
| Eindpunt verwijderen | x | |||
| Machtigingen wijzigen | x |