Seznamy řízení přístupu
Tento článek popisuje podrobnosti o oprávněních dostupných pro různé objekty pracovního prostoru.
Poznámka:
Řízení přístupu vyžaduje plán Premium.
Nastavení řízení přístupu jsou ve výchozím nastavení zakázaná u pracovních prostorů upgradovaných z plánu Standard na plán Premium. Jakmile je nastavení řízení přístupu povolené, nedá se zakázat. Další informace najdete v tématu Seznamy ovládacích prvků accessu, které lze povolit u upgradovaných pracovních prostorů.
Přehled seznamů řízení přístupu
V Azure Databricks můžete pomocí seznamů řízení přístupu (ACL) nakonfigurovat oprávnění pro přístup k objektům na úrovni pracovního prostoru. Správci pracovních prostorů mají oprávnění SPRAVOVAT u všech objektů v pracovním prostoru, což jim dává možnost spravovat oprávnění pro všechny objekty v jejich pracovních prostorech. Uživatelé mají automaticky oprávnění CAN MANAGE pro objekty, které vytvářejí.
Příklad mapování typických osob na oprávnění na úrovni pracovního prostoru najdete v tématu Návrh začínáme se skupinami a oprávněními Databricks.
Správa seznamů řízení přístupu pomocí složek
Oprávnění k objektům pracovního prostoru můžete spravovat přidáním objektů do složek. Objekty ve složce dědí všechna nastavení oprávnění této složky. Například uživatel, který má oprávnění CAN RUN ve složce, má oprávnění CAN RUN pro výstrahy v této složce.
Pokud uživateli udělíte přístup k objektu uvnitř složky, může zobrazit název nadřazené složky, i když nemá oprávnění k nadřazené složce. Například poznámkový blok s názvem test1.py je ve složce s názvem Workflows. Pokud uživateli udělíte oprávnění ČÍST test1.py a nemá oprávnění Workflows, uživatel uvidí, že nadřazená složka má název Workflows. Uživatel nemůže zobrazit ani získat přístup k žádným jiným objektům ve Workflows složce, pokud jim nebyla udělena oprávnění.
Další informace o uspořádání objektů do složek najdete v prohlížeči pracovního prostoru.
Seznamy AI/BI dashboard ACL
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ZOBRAZIT NEBO SPUSTIT | MŮŽE UPRAVIT | MŮŽE SPRAVOVAT |
|---|---|---|---|---|
| Zobrazení řídicího panelu a výsledků | linka | x | linka | |
| Interakce s widgety | linka | x | linka | |
| Aktualizace řídicího panelu | linka | x | linka | |
| Úprava řídicího panelu | linka | linka | ||
| Klonování řídicího panelu | linka | x | linka | |
| Publikování snímku řídicího panelu | linka | linka | ||
| Modify permissions | linka | |||
| Odstranění řídicího panelu | linka |
Seznamy ACL upozornění
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE BĚŽET | MŮŽE SPRAVOVAT |
|---|---|---|---|
| Zobrazit v seznamu upozornění | linka | linka | |
| Zobrazení upozornění a výsledku | linka | linka | |
| Ruční aktivace spuštění upozornění | linka | linka | |
| Přihlásit se k odběru oznámení | linka | linka | |
| Upravit upozornění | linka | ||
| Modify permissions | linka | ||
| Odstranit výstrahu | linka |
Seznamy ACL pro výpočty
Důležité
Uživatelé s oprávněními CAN ATTACH TO můžou zobrazit klíče účtu služby v souboru log4j. Při udělování této úrovně oprávnění buďte opatrní.
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE SE PŘIPOJIT K | MŮŽE RESTARTOVAT | MŮŽE SPRAVOVAT |
|---|---|---|---|---|
| Připojení poznámkového bloku k výpočetním prostředkům | linka | x | linka | |
| View Spark UI | linka | x | linka | |
| Zobrazení výpočetních metrik | linka | x | linka | |
| Ukončení výpočetních prostředků | linka | linka | ||
| Spuštění a restartování výpočetních prostředků | linka | linka | ||
| Zobrazení protokolů ovladačů | x (viz poznámka) | |||
| Úprava výpočetních prostředků | linka | |||
| Připojení knihovny k výpočetním prostředkům | linka | |||
| Změna velikosti výpočetních prostředků | linka | |||
| Modify permissions | linka |
Poznámka:
Tajné kódy nejsou redactovány z protokolu stdout stderr a streamů ovladačů Spark clusteru. Aby bylo možné chránit citlivá data, protokoly ovladačů Sparku se ve výchozím nastavení dají zobrazit jenom uživatelům s oprávněním CAN MANAGE pro úlohu, režim přístupu jednoho uživatele a clustery režimu sdíleného přístupu. Chcete-li uživatelům, kteří mají oprávnění PŘIPOJIT SE K nebo MŮŽE RESTARTOVAT, můžete zobrazit protokoly v těchto clusterech, nastavte v konfiguraci clusteru následující vlastnost konfigurace Sparku: spark.databricks.acl.needAdminPermissionToViewLogs false
V clusterech s režimem sdíleného přístupu bez izolace můžou uživatelé zobrazit protokoly ovladačů Spark s oprávněním MŮŽE PŘIPOJIT nebo MŮŽE SPRAVOVAT. Chcete-li omezit, kdo může číst protokoly pouze uživatelům s oprávněním CAN MANAGE, nastavte na truehodnotu spark.databricks.acl.needAdminPermissionToViewLogs .
Informace o přidání vlastností Sparku do konfigurace clusteru najdete v konfiguraci Sparku.
Seznamy ACL starší verze řídicího panelu
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ZOBRAZIT | MŮŽE BĚŽET | MŮŽE UPRAVIT | MŮŽE SPRAVOVAT |
|---|---|---|---|---|---|
| Zobrazit v seznamu řídicích panelů | linka | x | x | linka | |
| Zobrazení řídicího panelu a výsledků | linka | x | x | linka | |
| Aktualizace výsledků dotazu na řídicím panelu (nebo výběr různých parametrů) | linka | x | linka | ||
| Úprava řídicího panelu | linka | linka | |||
| Modify permissions | linka | ||||
| Odstranění řídicího panelu | linka |
Úprava staršího řídicího panelu vyžaduje nastavení sdílení prohlížeče Spustit jako. Viz Chování aktualizace a kontext spuštění.
Seznamy ACL dynamických tabulek Delta
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ZOBRAZIT | MŮŽE BĚŽET | MŮŽE SPRAVOVAT | JE VLASTNÍKEM |
|---|---|---|---|---|---|
| Zobrazení podrobností kanálu a výpisu kanálu | linka | x | x | linka | |
| Zobrazení protokolů uživatelského rozhraní Sparku a ovladačů | linka | x | x | linka | |
| Spuštění a zastavení aktualizace kanálu | linka | x | linka | ||
| Přímé zastavení clusterů kanálů | linka | x | linka | ||
| Úprava nastavení kanálu | linka | linka | |||
| Odstranění kanálu | linka | linka | |||
| Vyprázdnění spuštění a experimentů | linka | linka | |||
| Modify permissions | linka | linka |
Seznamy ACL tabulek funkcí
Tato tabulka popisuje, jak řídit přístup k tabulkám funkcí v pracovních prostorech, které nejsou povolené pro katalog Unity. Pokud je pro katalog Unity povolený váš pracovní prostor, použijte místo toho oprávnění katalogu Unity.
Poznámka:
- Řízení přístupu k úložišti funkcí neřídí přístup k podkladové tabulce Delta, která se řídí řízením přístupu k tabulce.
- Další informace o oprávněních tabulek funkcí pracovního prostoru najdete v tématu Řízení přístupu k tabulkám funkcí.
| Možnost | MŮŽE ZOBRAZIT METADATA | MŮŽE UPRAVOVAT METADATA | MŮŽE SPRAVOVAT |
|---|---|---|---|
| Tabulka funkcí pro čtení | X | X | X |
| Tabulka funkcí vyhledávání | X | X | X |
| Publikování tabulky funkcí do online obchodu | X | X | X |
| Zápis funkcí do tabulky funkcí | X | X | |
| Aktualizace popisu tabulky funkcí | X | X | |
| Modify permissions | X | ||
| Odstranit tabulku funkcí | X |
Seznamy ACL souborů
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ČÍST | MŮŽE BĚŽET | MŮŽE UPRAVIT | MŮŽE SPRAVOVAT |
|---|---|---|---|---|---|
| Čtení souboru | linka | x | x | linka | |
| Komentář | linka | x | x | linka | |
| Připojení a odpojení souboru | linka | x | linka | ||
| Interaktivní spuštění souboru | linka | x | linka | ||
| Upravit soubor | linka | linka | |||
| Modify permissions | linka |
Seznamy ACL složek
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ČÍST | MŮŽE UPRAVIT | MŮŽE BĚŽET | MŮŽE SPRAVOVAT |
|---|---|---|---|---|---|
| Výpis objektů ve složce | linka | x | x | x | linka |
| Zobrazení objektů ve složce | linka | x | x | linka | |
| Klonování a export položek | linka | x | linka | ||
| Spouštění objektů ve složce | linka | linka | |||
| Vytváření, import a odstraňování položek | linka | ||||
| Přesunutí a přejmenování položek | linka | ||||
| Modify permissions | linka |
Seznamy ACL prostoru Genie
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ZOBRAZIT NEBO SPUSTIT | MŮŽE UPRAVIT | MŮŽE SPRAVOVAT |
|---|---|---|---|---|
| Zobrazit v seznamu míst Genie | linka | x | x | linka |
| Ptejte se Genie na otázky | linka | x | linka | |
| Poskytnutí zpětné vazby k odpovědím | linka | x | linka | |
| Přidání nebo úprava pokynů pro Genie | linka | linka | ||
| Přidání nebo úprava ukázkových otázek | linka | linka | ||
| Přidání nebo odebrání zahrnutých tabulek | linka | linka | ||
| Monitorování místa | linka | |||
| Modify permissions | linka | |||
| Odstranění místa | linka | |||
| Zobrazení konverzací ostatních uživatelů | linka |
Seznamy ACL složky Git
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ČÍST | MŮŽE BĚŽET | MŮŽE UPRAVIT | MŮŽE SPRAVOVAT |
|---|---|---|---|---|---|
| Výpis prostředků ve složce | linka | x | x | x | linka |
| Zobrazení prostředků ve složce | linka | x | x | linka | |
| Klonování a export prostředků | linka | x | x | linka | |
| Spouštění spustitelných prostředků ve složce | linka | x | linka | ||
| Úprava a přejmenování prostředků ve složce | linka | linka | |||
| Vytvoření větve ve složce | linka | ||||
| Stažení nebo nasdílení větve do složky | linka | ||||
| Vytvoření, import, odstranění a přesun prostředků | linka | ||||
| Modify permissions | linka |
Seznamy ACL úloh
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ZOBRAZIT | MŮŽE SPRAVOVAT SPUŠTĚNÍ | JE VLASTNÍKEM | MŮŽE SPRAVOVAT |
|---|---|---|---|---|---|
| Zobrazení podrobností a nastavení úlohy | linka | x | x | linka | |
| Zobrazení výsledků | linka | x | x | linka | |
| Zobrazení uživatelského rozhraní Sparku, protokolů spuštění úlohy | linka | x | linka | ||
| Spustit nyní | linka | x | linka | ||
| Zrušit spuštění | linka | x | linka | ||
| Úprava nastavení úlohy | linka | linka | |||
| Odstranění úlohy | linka | linka | |||
| Modify permissions | linka | linka |
Seznamy ACL experimentu MLflow
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ČÍST | MŮŽE UPRAVIT | MŮŽE SPRAVOVAT |
|---|---|---|---|---|
| Zobrazení spuštění porovnání spuštění hledání informací | linka | x | linka | |
| Zobrazení, výpis a stažení artefaktů spuštění | linka | x | linka | |
| Vytvoření, odstranění a obnovení spuštění | linka | linka | ||
| Protokolování spuštění parametrů, metrik, značek | linka | linka | ||
| Artefakty spouštění protokolů | linka | linka | ||
| Úprava značek experimentu | linka | linka | ||
| Vyprázdnění spuštění a experimentů | linka | |||
| Modify permissions | linka |
Seznamy ACL modelu MLflow
Tato tabulka popisuje, jak řídit přístup k registrovaným modelům v pracovních prostorech, které nejsou pro katalog Unity povolené. Pokud je pro katalog Unity povolený váš pracovní prostor, použijte místo toho oprávnění katalogu Unity.
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ČÍST | MŮŽE UPRAVIT | MŮŽE SPRAVOVAT PRACOVNÍ VERZE | MŮŽE SPRAVOVAT PRODUKČNÍ VERZE | MŮŽE SPRAVOVAT |
|---|---|---|---|---|---|---|
| Zobrazení podrobností o modelu, verzí, žádostí o přechod fáze, aktivit a identifikátorů URI pro stahování artefaktů | linka | x | x | x | linka | |
| Vyžádání přechodu fáze verze modelu | linka | x | x | x | linka | |
| Přidání verze do modelu | linka | x | x | linka | ||
| Aktualizace modelu a popisu verze | linka | x | x | linka | ||
| Přidání nebo úprava značek | linka | x | x | linka | ||
| Verze modelu přechodu mezi fázemi | linka | x | linka | |||
| Schválení žádosti o přechod | linka | x | linka | |||
| Zrušení žádosti o přechod | linka | |||||
| Přejmenování modelu | linka | |||||
| Modify permissions | linka | |||||
| Odstranění verzí modelu a modelů | linka |
Seznamy ACL poznámkového bloku
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ČÍST | MŮŽE BĚŽET | MŮŽE UPRAVIT | MŮŽE SPRAVOVAT |
|---|---|---|---|---|---|
| Zobrazení buněk | linka | x | x | linka | |
| Komentář | linka | x | x | linka | |
| Spuštění přes pracovní postupy %run nebo poznámkového bloku | linka | x | x | linka | |
| Připojení a odpojení poznámkových bloků | linka | x | linka | ||
| Spuštění příkazů | linka | x | linka | ||
| Úprava buněk | linka | linka | |||
| Modify permissions | linka |
Seznamy ACL fondu
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE SE PŘIPOJIT K | MŮŽE SPRAVOVAT |
|---|---|---|---|
| Připojení clusteru k fondu | linka | linka | |
| Odstranění fondu | linka | ||
| Upravit fond | linka | ||
| Modify permissions | linka |
Seznamy ACL pro dotazy
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ZOBRAZIT | MŮŽE BĚŽET | MŮŽE UPRAVIT | MŮŽE SPRAVOVAT |
|---|---|---|---|---|---|
| Zobrazení vlastních dotazů | linka | x | x | linka | |
| Zobrazit v seznamu dotazů | linka | x | x | linka | |
| Zobrazení textu dotazu | linka | x | x | linka | |
| Zobrazit výsledky dotazu | linka | x | x | linka | |
| Aktualizovat výsledek dotazu (nebo zvolit jiné parametry) | linka | x | linka | ||
| Zahrnutí dotazu do řídicího panelu | linka | x | linka | ||
| Úprava textu dotazu | linka | linka | |||
| Změna SQL Warehouse nebo zdroje dat | linka | ||||
| Modify permissions | linka | ||||
| Odstranit dotaz | linka |
Tajné seznamy ACL
| Možnost | PŘEČÍST | PSÁT | SPRÁVA |
|---|---|---|---|
| Čtení oboru tajných kódů | linka | x | linka |
| Výpis tajných kódů v oboru | linka | x | linka |
| Zápis do oboru tajného kódu | linka | linka | |
| Modify permissions | linka |
Obsluha seznamů ACL koncového bodu
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE ZOBRAZIT | MŮŽE DOTAZOVAT | MŮŽE SPRAVOVAT |
|---|---|---|---|---|
| Získání koncového bodu | linka | x | linka | |
| Výpis koncového bodu | linka | x | linka | |
| Koncový bod dotazu | linka | linka | ||
| Aktualizace konfigurace koncového bodu | linka | |||
| Odstranění koncového bodu | linka | |||
| Modify permissions | linka |
Seznamy ACL služby SQL Warehouse
| Možnost | ŽÁDNÁ OPRÁVNĚNÍ | MŮŽE POUŽÍT | MŮŽE MONITOROVAT | JE VLASTNÍKEM | MŮŽE SPRAVOVAT |
|---|---|---|---|---|---|
| Spuštění skladu | linka | x | x | linka | |
| Zobrazení podrobností o skladu | linka | x | x | linka | |
| Zobrazení dotazů na sklad | linka | x | linka | ||
| Zobrazení karty monitorování skladu | linka | x | linka | ||
| Zastavení skladu | linka | linka | |||
| Odstranění skladu | linka | linka | |||
| Úprava skladu | linka | linka | |||
| Modify permissions | linka | linka |