访问控制列表
本文详细介绍了可用于不同工作区对象的权限。
访问控制列表概述
在 Azure Databricks 中,可以使用访问控制列表 (ACL) 配置权限以访问工作区级别对象。 工作区管理员对其工作区中的所有对象具有 CAN MANAGE 权限,这使他们能够管理其工作区中所有对象的权限。 用户对其创建的对象自动拥有 CAN MANAGE 权限。
有关如何将典型角色映射到工作区级权限的示例,请参阅 Databricks 组和权限入门建议。
使用文件夹管理访问控制列表
可以通过向文件夹添加对象来管理工作区对象权限。 文件夹中的对象继承该文件夹的所有权限设置。 例如,对某个文件夹拥有 CAN RUN 权限的用户会对该文件夹中的警报拥有 CAN RUN 权限。 要了解如何将对象组织到文件夹中,请参阅工作区浏览器。
警报 ACL
能力 |
无权限 |
可运行 |
可管理 |
在警报列表中查看 |
|
x |
x |
查看警报和结果 |
|
x |
x |
手动触发警报运行 |
|
x |
x |
订阅通知 |
|
x |
x |
编辑警报 |
|
|
x |
修改权限 |
|
|
x |
删除警报 |
|
|
x |
计算 ACL
能力 |
无权限 |
可附加到 |
可重启 |
可管理 |
将笔记本附加到群集 |
|
x |
x |
x |
查看 Spark UI |
|
x |
x |
x |
查看群集指标 |
|
x |
x |
x |
查看驱动程序日志 |
|
x |
x |
x |
终止群集 |
|
|
x |
x |
启动和重启群集 |
|
|
x |
x |
编辑群集 |
|
|
|
x |
将库附加到群集 |
|
|
|
x |
调整群集大小 |
|
|
|
x |
修改权限 |
|
|
|
x |
旧版仪表板 ACL
能力 |
无权限 |
可查看 |
可运行 |
CAN EDIT |
可管理 |
在仪表板列表中查看 |
|
x |
x |
x |
x |
查看仪表板和结果 |
|
x |
x |
x |
x |
在仪表板中刷新查询结果(或选择不同的参数) |
|
|
x |
x |
x |
编辑仪表板 |
|
|
|
x |
x |
修改权限 |
|
|
|
|
x |
删除仪表板 |
|
|
|
|
x |
编辑旧版仪表板需要“以查看者身份运行”共享设置。 请参阅刷新行为和执行上下文。
增量实时表 ACL
能力 |
无权限 |
可查看 |
可运行 |
可管理 |
为所有者 |
查看管道详细信息并列出管道 |
|
x |
x |
x |
x |
查看 Spark UI 和驱动程序日志 |
|
x |
x |
x |
x |
启动和停止管道更新 |
|
|
x |
x |
x |
直接停止管道群集 |
|
|
x |
x |
x |
编辑管道设置 |
|
|
|
x |
x |
删除管道 |
|
|
|
x |
x |
清除运行和试验 |
|
|
|
x |
x |
修改权限 |
|
|
|
x |
x |
特征表 ACL
此表描述了如何控制对未为 Unity Catalog 启用的工作区中的特征表的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限。
能力 |
可查看元数据 |
可编辑元数据 |
可管理 |
读取特征表 |
X |
X |
X |
搜索特征表 |
X |
X |
X |
将特征表发布到联机存储 |
X |
X |
X |
将特征写入特征表 |
|
X |
X |
更新特征表的说明 |
|
X |
X |
修改权限 |
|
|
X |
删除特征表 |
|
|
X |
文件 ACL
能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
CAN MANAGE |
读取文件 |
|
x |
x |
x |
x |
注释 |
|
x |
x |
x |
x |
附加和分离文件 |
|
|
x |
x |
x |
以交互方式运行文件 |
|
|
x |
x |
x |
编辑文件 |
|
|
|
x |
x |
修改权限 |
|
|
|
|
x |
文件夹 ACL
能力 |
无权限 |
可读取 |
可编辑 |
可运行 |
可管理 |
列出文件夹中的对象 |
x |
x |
x |
x |
x |
查看文件夹中的对象 |
|
x |
x |
x |
x |
克隆和导出项 |
|
|
x |
x |
x |
运行文件夹中运行对象 |
|
|
|
x |
x |
创建、导入和删除项 |
|
|
|
|
x |
移动和重命名项 |
|
|
|
|
x |
修改权限 |
|
|
|
|
x |
Genie 空间 ACL
能力 |
无权限 |
CAN RUN |
CAN EDIT |
CAN MANAGE |
在 Genie 空间列表中查看 |
|
x |
x |
x |
向 Genie 提问 |
|
x |
x |
x |
提供回复反馈 |
|
x |
x |
x |
添加或编辑 Genie 指令 |
|
|
x |
x |
添加或编辑示例问题 |
|
|
x |
x |
添加或删除包含的表 |
|
|
x |
x |
监视空间 |
|
|
x |
x |
共享空间 |
|
|
x |
x |
删除空间 |
|
|
|
x |
Git 文件夹 ACL
能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
CAN MANAGE |
列出文件夹中的资产 |
x |
x |
x |
x |
x |
查看文件夹中的资产 |
|
x |
x |
x |
x |
克隆和导出资产 |
|
x |
x |
x |
x |
在文件夹中运行可执行资产 |
|
|
x |
x |
x |
编辑和重命名文件夹中的资产 |
|
|
|
x |
x |
在文件夹中创建分支 |
|
|
|
|
x |
拉取分支或将分支推送到文件夹中 |
|
|
|
|
x |
创建、导入、删除和移动资产 |
|
|
|
|
x |
修改权限 |
|
|
|
|
x |
作业 ACL
能力 |
无权限 |
可查看 |
可管理运行 |
是所有者 |
可管理 |
查看作业详细信息及设置 |
|
x |
x |
x |
x |
查看结果 |
|
x |
x |
x |
x |
查看 Spark UI,作业运行的日志 |
|
|
x |
x |
x |
立即运行 |
|
|
x |
x |
x |
取消运行 |
|
|
x |
x |
x |
编辑作业设置 |
|
|
|
x |
x |
删除作业 |
|
|
|
x |
x |
修改权限 |
|
|
|
x |
x |
仪表板 ACL
能力 |
无权限 |
可查看/可运行 |
可编辑 |
可管理 |
查看仪表板和结果 |
|
x |
x |
x |
与小组件交互 |
|
x |
x |
x |
刷新仪表板 |
|
x |
x |
x |
编辑仪表板 |
|
|
x |
x |
克隆仪表板 |
|
x |
x |
x |
发布仪表板快照 |
|
|
x |
x |
修改权限 |
|
|
|
x |
删除仪表板 |
|
|
|
x |
MLflow 试验 ACL
能力 |
无权限 |
可读取 |
可编辑 |
可管理 |
查看运行信息、搜索、比较运行 |
|
x |
x |
x |
查看、列出和下载运行项目 |
|
x |
x |
x |
创建、删除和还原运行 |
|
|
x |
x |
记录运行参数、指标、标记 |
|
|
x |
x |
记录运行项目 |
|
|
x |
x |
编辑试验标记 |
|
|
x |
x |
清除运行和试验 |
|
|
|
x |
修改权限 |
|
|
|
x |
MLflow 模型 ACL
此表描述了如何控制对未为 Unity Catalog 启用的工作区中的注册模型的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限。
能力 |
无权限 |
可读取 |
可编辑 |
可管理暂存版本 |
可管理生产版本 |
可管理 |
查看模型详细信息、版本、阶段转换请求、活动以及项目下载 URI |
|
x |
x |
x |
x |
x |
请求模型版本阶段转换 |
|
x |
x |
x |
x |
x |
向模型添加版本 |
|
|
x |
x |
x |
x |
更新模型和版本说明 |
|
|
x |
x |
x |
x |
添加或编辑标签 |
|
|
x |
x |
x |
x |
在阶段之间转换模型版本 |
|
|
|
x |
x |
x |
批准转换请求 |
|
|
|
x |
x |
x |
取消转换请求 |
|
|
|
|
|
x |
重命名模型 |
|
|
|
|
|
x |
修改权限 |
|
|
|
|
|
x |
删除模型和模型版本 |
|
|
|
|
|
x |
笔记本 ACL
能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
可管理 |
查看单元 |
|
x |
x |
x |
x |
注释 |
|
x |
x |
x |
x |
通过 %run 或笔记本工作流来运行 |
|
x |
x |
x |
x |
附加和分离笔记本 |
|
|
x |
x |
x |
运行命令 |
|
|
x |
x |
x |
编辑单元 |
|
|
|
x |
x |
修改权限 |
|
|
|
|
x |
池 ACL
能力 |
无权限 |
可附加到 |
可管理 |
将群集附加到池 |
|
x |
x |
删除池 |
|
|
x |
编辑池 |
|
|
x |
修改权限 |
|
|
x |
查询 ACL
能力 |
无权限 |
可查看 |
可运行 |
CAN EDIT |
可管理 |
查看自己的查询 |
|
x |
x |
x |
x |
在查询列表中查看 |
|
x |
x |
x |
x |
查看查询文本 |
|
x |
x |
x |
x |
查看查询结果 |
|
x |
x |
x |
x |
刷新查询结果(或选择其他参数) |
|
|
x |
x |
x |
在仪表板中包含查询 |
|
|
x |
x |
x |
编辑查询文本 |
|
|
|
x |
x |
更改 SQL 仓库或数据源 |
|
|
|
|
x |
修改权限 |
|
|
|
|
x |
删除查询 |
|
|
|
|
x |
机密 ACL
能力 |
READ |
WRITE |
管理 |
读取机密范围 |
x |
x |
x |
列出保管库中的机密 |
x |
x |
x |
写入机密范围 |
|
x |
x |
修改权限 |
|
|
x |
服务终结点 ACL
能力 |
无权限 |
可查看 |
可查询 |
可管理 |
获取终结点 |
|
x |
x |
x |
列出终结点 |
|
x |
x |
x |
查询终结点 |
|
|
x |
x |
更新终结点配置 |
|
|
|
x |
删除终结点 |
|
|
|
x |
修改权限 |
|
|
|
x |
SQL 仓库 ACL
能力 |
无权限 |
可使用 |
CAN MONITOR |
是所有者 |
可管理 |
启动仓库 |
|
x |
x |
x |
x |
查看仓库详细信息 |
|
x |
x |
x |
x |
查看仓库查询 |
|
|
x |
x |
x |
查看仓库的监视选项卡 |
|
|
x |
x |
x |
停止仓库 |
|
|
|
x |
x |
删除仓库 |
|
|
|
x |
x |
编辑仓库 |
|
|
|
x |
x |
修改权限 |
|
|
|
x |
x |
注意
CAN MONITOR 权限目前为公共预览版功能。