访问控制列表
本文详细介绍了可用于不同工作区对象的权限。
访问控制列表概述
在 Azure Databricks 中,可以使用访问控制列表 (ACL) 配置权限以访问工作区级别对象。 工作区管理员对其工作区中的所有对象具有 CAN MANAGE 权限,这使他们能够管理其工作区中所有对象的权限。 用户对其创建的对象自动拥有 CAN MANAGE 权限。
有关如何将典型角色映射到工作区级权限的示例,请参阅 Databricks 组和权限入门建议。
使用文件夹管理访问控制列表
可以通过向文件夹添加对象来管理工作区对象权限。 文件夹中的对象继承该文件夹的所有权限设置。 例如,对某个文件夹拥有 CAN RUN 权限的用户会对该文件夹中的警报拥有 CAN RUN 权限。
如果你授予用户访问文件夹内对象的权限,则即使他们对父文件夹没有权限,也可以查看父文件夹的名称。 例如,名为 test1.py
笔记本的笔记本位于名为 Workflows
的文件夹中。 如果向用户授予对 test1.py
的 CAN READ 权限,但不授予对 Workflows
的任何权限,则用户可以看到父文件夹名为 Workflows
。 用户无法查看或访问 Workflows
文件夹中的任何其他对象,除非向其授予对这些对象的权限。
要了解如何将对象组织到文件夹中,请参阅工作区浏览器。
AI/BI 仪表板 ACL
能力 |
无权限 |
可查看/可运行 |
可编辑 |
可管理 |
查看仪表板和结果 |
|
x |
x |
x |
与小组件交互 |
|
x |
x |
x |
刷新仪表板 |
|
x |
x |
x |
编辑仪表板 |
|
|
x |
x |
克隆仪表板 |
|
x |
x |
x |
发布仪表板快照 |
|
|
x |
x |
修改权限 |
|
|
|
x |
删除仪表板 |
|
|
|
x |
警报 ACL
能力 |
无权限 |
可运行 |
可管理 |
在警报列表中查看 |
|
x |
x |
查看警报和结果 |
|
x |
x |
手动触发警报运行 |
|
x |
x |
订阅通知 |
|
x |
x |
编辑警报 |
|
|
x |
修改权限 |
|
|
x |
删除警报 |
|
|
x |
计算 ACL
重要
具有“可附加到”权限的用户可以在 log4j 文件中查看服务帐户密钥。 授予此权限级别时请务必小心。
能力 |
无权限 |
可附加到 |
可重启 |
可管理 |
将笔记本附加到计算 |
|
x |
x |
x |
查看 Spark UI |
|
x |
x |
x |
查看计算指标 |
|
x |
x |
x |
终止计算 |
|
|
x |
x |
启动和重启计算 |
|
|
x |
x |
查看驱动程序日志 |
|
|
|
x (查看注释) |
编辑计算 |
|
|
|
x |
将库附加到计算 |
|
|
|
x |
调整计算大小 |
|
|
|
x |
修改权限 |
|
|
|
x |
注意
不会从群集的 Spark 驱动程序日志 stdout
和 stderr
流中修订机密。 为了保护敏感数据,默认情况下,只有由对作业、单用户访问模式和共享访问模式群集具有“CAN MANAGE”权限的用户才能查看 Spark 驱动程序日志。 若要允许具有“CAN ATTACH TO”或“CAN RESTART”权限的用户查看这些群集上的日志,请在群集配置中设置以下 Spark 配置属性:spark.databricks.acl.needAdminPermissionToViewLogs false
。
在“无隔离共享”访问模式群集上,具有“CAN ATTACH TO”或“CAN MANAGE”权限的用户可以查看 Spark 驱动程序日志。 若要限制只有具有“CAN MANAGE”权限的用户才能读取日志,请将 spark.databricks.acl.needAdminPermissionToViewLogs
设置为 true
。
请参阅 Spark 配置来了解如何将 Spark 属性添加到群集配置。
旧版仪表板 ACL
能力 |
无权限 |
可查看 |
可运行 |
CAN EDIT |
可管理 |
在仪表板列表中查看 |
|
x |
x |
x |
x |
查看仪表板和结果 |
|
x |
x |
x |
x |
在仪表板中刷新查询结果(或选择不同的参数) |
|
|
x |
x |
x |
编辑仪表板 |
|
|
|
x |
x |
修改权限 |
|
|
|
|
x |
删除仪表板 |
|
|
|
|
x |
编辑旧版仪表板需要“以查看者身份运行”共享设置。 请参阅刷新行为和执行上下文。
增量实时表管道 ACL
能力 |
无权限 |
可查看 |
可运行 |
可管理 |
为所有者 |
查看管道详细信息并列出管道 |
|
x |
x |
x |
x |
查看 Spark UI 和驱动程序日志 |
|
x |
x |
x |
x |
启动和停止管道更新 |
|
|
x |
x |
x |
直接停止管道群集 |
|
|
x |
x |
x |
编辑管道设置 |
|
|
|
x |
x |
删除管道 |
|
|
|
x |
x |
清除运行和试验 |
|
|
|
x |
x |
修改权限 |
|
|
|
x |
x |
特征表 ACL
此表描述了如何控制对未为 Unity Catalog 启用的工作区中的特征表的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限。
能力 |
可查看元数据 |
可编辑元数据 |
可管理 |
读取特征表 |
X |
X |
X |
搜索特征表 |
X |
X |
X |
将特征表发布到联机存储 |
X |
X |
X |
将特征写入特征表 |
|
X |
X |
更新特征表的说明 |
|
X |
X |
修改权限 |
|
|
X |
删除特征表 |
|
|
X |
文件 ACL
能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
CAN MANAGE |
读取文件 |
|
x |
x |
x |
x |
注释 |
|
x |
x |
x |
x |
附加和分离文件 |
|
|
x |
x |
x |
以交互方式运行文件 |
|
|
x |
x |
x |
编辑文件 |
|
|
|
x |
x |
修改权限 |
|
|
|
|
x |
文件夹 ACL
能力 |
无权限 |
可读取 |
可编辑 |
可运行 |
可管理 |
列出文件夹中的对象 |
x |
x |
x |
x |
x |
查看文件夹中的对象 |
|
x |
x |
x |
x |
克隆和导出项 |
|
|
x |
x |
x |
运行文件夹中运行对象 |
|
|
|
x |
x |
创建、导入和删除项 |
|
|
|
|
x |
移动和重命名项 |
|
|
|
|
x |
修改权限 |
|
|
|
|
x |
Genie 空间 ACL
能力 |
无权限 |
可查看/可运行 |
可编辑 |
CAN MANAGE |
在 Genie 空间列表中查看 |
x |
x |
x |
x |
向 Genie 提问 |
|
x |
x |
x |
提供回复反馈 |
|
x |
x |
x |
添加或编辑 Genie 指令 |
|
|
x |
x |
添加或编辑示例问题 |
|
|
x |
x |
添加或删除包含的表 |
|
|
x |
x |
监视空间 |
|
|
|
x |
修改权限 |
|
|
|
x |
删除空间 |
|
|
|
x |
查看其他用户的对话 |
|
|
|
x |
Git 文件夹 ACL
能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
CAN MANAGE |
列出文件夹中的资产 |
x |
x |
x |
x |
x |
查看文件夹中的资产 |
|
x |
x |
x |
x |
克隆和导出资产 |
|
x |
x |
x |
x |
在文件夹中运行可执行资产 |
|
|
x |
x |
x |
编辑和重命名文件夹中的资产 |
|
|
|
x |
x |
在文件夹中创建分支 |
|
|
|
|
x |
拉取分支或将分支推送到文件夹中 |
|
|
|
|
x |
创建、导入、删除和移动资产 |
|
|
|
|
x |
修改权限 |
|
|
|
|
x |
作业 ACL
能力 |
无权限 |
可查看 |
可管理运行 |
是所有者 |
可管理 |
查看作业详细信息及设置 |
|
x |
x |
x |
x |
查看结果 |
|
x |
x |
x |
x |
查看 Spark UI,作业运行的日志 |
|
|
x |
x |
x |
立即运行 |
|
|
x |
x |
x |
取消运行 |
|
|
x |
x |
x |
编辑作业设置 |
|
|
|
x |
x |
删除作业 |
|
|
|
x |
x |
修改权限 |
|
|
|
x |
x |
MLflow 试验 ACL
能力 |
无权限 |
可读取 |
可编辑 |
可管理 |
查看运行信息、搜索、比较运行 |
|
x |
x |
x |
查看、列出和下载运行项目 |
|
x |
x |
x |
创建、删除和还原运行 |
|
|
x |
x |
记录运行参数、指标、标记 |
|
|
x |
x |
记录运行项目 |
|
|
x |
x |
编辑试验标记 |
|
|
x |
x |
清除运行和试验 |
|
|
|
x |
修改权限 |
|
|
|
x |
MLflow 模型 ACL
此表描述了如何控制对未为 Unity Catalog 启用的工作区中的注册模型的访问。 如果工作区已启用 Unity Catalog,请使用 Unity Catalog 权限。
能力 |
无权限 |
可读取 |
可编辑 |
可管理暂存版本 |
可管理生产版本 |
可管理 |
查看模型详细信息、版本、阶段转换请求、活动以及项目下载 URI |
|
x |
x |
x |
x |
x |
请求模型版本阶段转换 |
|
x |
x |
x |
x |
x |
向模型添加版本 |
|
|
x |
x |
x |
x |
更新模型和版本说明 |
|
|
x |
x |
x |
x |
添加或编辑标签 |
|
|
x |
x |
x |
x |
在阶段之间转换模型版本 |
|
|
|
x |
x |
x |
批准转换请求 |
|
|
|
x |
x |
x |
取消转换请求 |
|
|
|
|
|
x |
重命名模型 |
|
|
|
|
|
x |
修改权限 |
|
|
|
|
|
x |
删除模型和模型版本 |
|
|
|
|
|
x |
笔记本 ACL
能力 |
无权限 |
CAN READ |
CAN RUN |
CAN EDIT |
可管理 |
查看单元 |
|
x |
x |
x |
x |
注释 |
|
x |
x |
x |
x |
通过 %run 或笔记本工作流来运行 |
|
x |
x |
x |
x |
附加和分离笔记本 |
|
|
x |
x |
x |
运行命令 |
|
|
x |
x |
x |
编辑单元 |
|
|
|
x |
x |
修改权限 |
|
|
|
|
x |
池 ACL
能力 |
无权限 |
可附加到 |
可管理 |
将群集附加到池 |
|
x |
x |
删除池 |
|
|
x |
编辑池 |
|
|
x |
修改权限 |
|
|
x |
查询 ACL
能力 |
无权限 |
可查看 |
可运行 |
CAN EDIT |
可管理 |
查看自己的查询 |
|
x |
x |
x |
x |
在查询列表中查看 |
|
x |
x |
x |
x |
查看查询文本 |
|
x |
x |
x |
x |
查看查询结果 |
|
x |
x |
x |
x |
刷新查询结果(或选择其他参数) |
|
|
x |
x |
x |
在仪表板中包含查询 |
|
|
x |
x |
x |
编辑查询文本 |
|
|
|
x |
x |
更改 SQL 仓库或数据源 |
|
|
|
|
x |
修改权限 |
|
|
|
|
x |
删除查询 |
|
|
|
|
x |
机密 ACL
能力 |
READ |
WRITE |
管理 |
读取机密范围 |
x |
x |
x |
列出保管库中的机密 |
x |
x |
x |
写入机密范围 |
|
x |
x |
修改权限 |
|
|
x |
服务终结点 ACL
能力 |
无权限 |
可查看 |
可查询 |
可管理 |
获取终结点 |
|
x |
x |
x |
列出终结点 |
|
x |
x |
x |
查询终结点 |
|
|
x |
x |
更新终结点配置 |
|
|
|
x |
删除终结点 |
|
|
|
x |
修改权限 |
|
|
|
x |
SQL 仓库 ACL
能力 |
无权限 |
可使用 |
CAN MONITOR |
是所有者 |
可管理 |
启动仓库 |
|
x |
x |
x |
x |
查看仓库详细信息 |
|
x |
x |
x |
x |
查看仓库查询 |
|
|
x |
x |
x |
查看仓库的监视选项卡 |
|
|
x |
x |
x |
停止仓库 |
|
|
|
x |
x |
删除仓库 |
|
|
|
x |
x |
编辑仓库 |
|
|
|
x |
x |
修改权限 |
|
|
|
x |
x |