访问控制列表

本文详细介绍了可用于不同工作区对象的权限。

注意

访问控制需要高级计划

在从标准计划升级到高级计划的工作区中,访问控制设置默认处于禁用状态。 一旦启用访问控制设置,就无法将其禁用。 有关详细信息,请参阅可对升级的工作区启用访问控制列表

访问控制列表概述

在 Azure Databricks 中,可以使用访问控制列表 (ACL) 配置权限以访问工作区级别对象。 工作区管理员对其工作区中的所有对象具有 CAN MANAGE 权限,这使他们能够管理其工作区中所有对象的权限。 用户对其创建的对象自动拥有 CAN MANAGE 权限。

有关如何将典型角色映射到工作区级权限的示例,请参阅 Databricks 组和权限入门建议

使用文件夹管理访问控制列表

可以通过向文件夹添加对象来管理工作区对象权限。 文件夹中的对象继承该文件夹的所有权限设置。 例如,对某个文件夹拥有 CAN RUN 权限的用户会对该文件夹中的警报拥有 CAN RUN 权限。 要了解如何将对象组织到文件夹中,请参阅工作区浏览器

警报 ACL

能力 无权限 可运行 可管理
在警报列表中查看 x x
查看警报和结果 x x
手动触发警报运行 x x
订阅通知 x x
编辑警报 x
修改权限 x
删除警报 x

计算 ACL

能力 无权限 可附加到 可重启 可管理
将笔记本附加到群集 x x x
查看 Spark UI x x x
查看群集指标 x x x
查看驱动程序日志 x x x
终止群集 x x
启动和重启群集 x x
编辑群集 x
将库附加到群集 x
调整群集大小 x
修改权限 x

旧版仪表板 ACL

能力 无权限 可查看 可运行 CAN EDIT 可管理
在仪表板列表中查看 x x x x
查看仪表板和结果 x x x x
在仪表板中刷新查询结果(或选择不同的参数) x x x
编辑仪表板 x x
修改权限 x
删除仪表板 x

编辑旧版仪表板需要“以查看者身份运行”共享设置。 请参阅刷新行为和执行上下文

增量实时表 ACL

能力 无权限 可查看 可运行 可管理 为所有者
查看管道详细信息并列出管道 x x x x
查看 Spark UI 和驱动程序日志 x x x x
启动和停止管道更新 x x x
直接停止管道群集 x x x
编辑管道设置 x x
删除管道 x x
清除运行和试验 x x
修改权限 x x

特征表 ACL

此表描述了如何控制对未为 Unity Catalog 启用的工作区中的特征表的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限

注意

能力 可查看元数据 可编辑元数据 可管理
读取特征表 X X X
搜索特征表 X X X
将特征表发布到联机存储 X X X
将特征写入特征表 X X
更新特征表的说明 X X
修改权限 X
删除特征表 X

文件 ACL

能力 无权限 CAN READ CAN RUN CAN EDIT CAN MANAGE
读取文件 x x x x
注释 x x x x
附加和分离文件 x x x
以交互方式运行文件 x x x
编辑文件 x x
修改权限 x

文件夹 ACL

能力 无权限 可读取 可编辑 可运行 可管理
列出文件夹中的对象 x x x x x
查看文件夹中的对象 x x x x
克隆和导出项 x x x
运行文件夹中运行对象 x x
创建、导入和删除项 x
移动和重命名项 x
修改权限 x

Genie 空间 ACL

能力 无权限 CAN RUN CAN EDIT CAN MANAGE
在 Genie 空间列表中查看 x x x
向 Genie 提问 x x x
提供回复反馈 x x x
添加或编辑 Genie 指令 x x
添加或编辑示例问题 x x
添加或删除包含的表 x x
监视空间 x x
共享空间 x x
删除空间 x

Git 文件夹 ACL

能力 无权限 CAN READ CAN RUN CAN EDIT CAN MANAGE
列出文件夹中的资产 x x x x x
查看文件夹中的资产 x x x x
克隆和导出资产 x x x x
在文件夹中运行可执行资产 x x x
编辑和重命名文件夹中的资产 x x
在文件夹中创建分支 x
拉取分支或将分支推送到文件夹中 x
创建、导入、删除和移动资产 x
修改权限 x

作业 ACL

能力 无权限 可查看 可管理运行 是所有者 可管理
查看作业详细信息及设置 x x x x
查看结果 x x x x
查看 Spark UI,作业运行的日志 x x x
立即运行 x x x
取消运行 x x x
编辑作业设置 x x
删除作业 x x
修改权限 x x

仪表板 ACL

能力 无权限 可查看/可运行 可编辑 可管理
查看仪表板和结果 x x x
与小组件交互 x x x
刷新仪表板 x x x
编辑仪表板 x x
克隆仪表板 x x x
发布仪表板快照 x x
修改权限 x
删除仪表板 x

MLflow 试验 ACL

能力 无权限 可读取 可编辑 可管理
查看运行信息、搜索、比较运行 x x x
查看、列出和下载运行项目 x x x
创建、删除和还原运行 x x
记录运行参数、指标、标记 x x
记录运行项目 x x
编辑试验标记 x x
清除运行和试验 x
修改权限 x

MLflow 模型 ACL

此表描述了如何控制对未为 Unity Catalog 启用的工作区中的注册模型的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限

能力 无权限 可读取 可编辑 可管理暂存版本 可管理生产版本 可管理
查看模型详细信息、版本、阶段转换请求、活动以及项目下载 URI x x x x x
请求模型版本阶段转换 x x x x x
向模型添加版本 x x x x
更新模型和版本说明 x x x x
添加或编辑标签 x x x x
在阶段之间转换模型版本 x x x
批准转换请求 x x x
取消转换请求 x
重命名模型 x
修改权限 x
删除模型和模型版本 x

笔记本 ACL

能力 无权限 CAN READ CAN RUN CAN EDIT 可管理
查看单元 x x x x
注释 x x x x
通过 %run 或笔记本工作流来运行 x x x x
附加和分离笔记本 x x x
运行命令 x x x
编辑单元 x x
修改权限 x

池 ACL

能力 无权限 可附加到 可管理
将群集附加到池 x x
删除池 x
编辑池 x
修改权限 x

查询 ACL

能力 无权限 可查看 可运行 CAN EDIT 可管理
查看自己的查询 x x x x
在查询列表中查看 x x x x
查看查询文本 x x x x
查看查询结果 x x x x
刷新查询结果(或选择其他参数) x x x
在仪表板中包含查询 x x x
编辑查询文本 x x
更改 SQL 仓库或数据源 x
修改权限 x
删除查询 x

机密 ACL

能力 READ WRITE 管理
读取机密范围 x x x
列出保管库中的机密 x x x
写入机密范围 x x
修改权限 x

服务终结点 ACL

能力 无权限 可查看 可查询 可管理
获取终结点 x x x
列出终结点 x x x
查询终结点 x x
更新终结点配置 x
删除终结点 x
修改权限 x

SQL 仓库 ACL

能力 无权限 可使用 CAN MONITOR 是所有者 可管理
启动仓库 x x x x
查看仓库详细信息 x x x x
查看仓库查询 x x x
查看仓库的监视选项卡 x x x
停止仓库 x x
删除仓库 x x
编辑仓库 x x
修改权限 x x

注意

CAN MONITOR 权限目前为公共预览版功能。