Questo articolo descrive in dettaglio le autorizzazioni disponibili per i diversi oggetti dell'area di lavoro.
Nota
Il controllo di accesso richiede il piano Premium.
Le impostazioni di controllo di accesso sono disabilitate per impostazione predefinita nelle aree di lavoro aggiornate dal piano Standard al piano Premium. Una volta abilitata un'impostazione di controllo di accesso, non può essere disabilitata. Per altre informazioni, vedere Elenchi di controlli di accesso che possono essere abilitati nelle aree di lavoro aggiornate.
Panoramica degli elenchi di controllo di accesso
In Azure Databricks è possibile usare elenchi di controllo di accesso (ACL) per configurare l'autorizzazione per accedere agli oggetti a livello di area di lavoro. Gli amministratori dell'area di lavoro hanno l'autorizzazione CAN MANAGE per tutti gli oggetti nell'area di lavoro, che consente di gestire le autorizzazioni per tutti gli oggetti nelle aree di lavoro. Gli utenti dispongono automaticamente dell'autorizzazione CAN MANAGE per gli oggetti creati.
Gestire gli elenchi di controllo di accesso con le cartelle
È possibile gestire le autorizzazioni per gli oggetti dell'area di lavoro aggiungendo oggetti alle cartelle. Gli oggetti in una cartella ereditano tutte le impostazioni delle autorizzazioni di tale cartella. Ad esempio, un utente che dispone dell'autorizzazione CAN RUN per una cartella dispone dell'autorizzazione CAN RUN per gli avvisi in tale cartella. Per informazioni sull'organizzazione degli oggetti in cartelle, vedere Browser dell'area di lavoro.
ACL del dashboard di intelligenza artificiale/BI
Capacità
NESSUNA AUTORIZZAZIONE
PUÒ VISUALIZZARE/ESEGUIRE
PUÒ MODIFICARE
PUÒ GESTIRE
Visualizzare dashboard e risultati
x
x
x
Interagire con i widget
x
x
x
Aggiornare il dashboard
x
x
x
Modificare il dashboard
x
x
Clonare il dashboard
x
x
x
Pubblicare lo snapshot del dashboard
x
x
Modify permissions
x
Eliminare il dashboard
x
Elenchi di controllo di accesso per gli avvisi
Capacità
NESSUNA AUTORIZZAZIONE
PUÒ ESSERE ESEGUITO
PUÒ GESTIRE
Vedere nell'elenco degli avvisi
x
x
Visualizzare un avviso e un risultato
x
x
Attivare manualmente l'esecuzione degli avvisi
x
x
Sottoscrivere le notifiche
x
x
Modificare l'avviso
x
Modify permissions
x
Eliminare un avviso
x
ACL di calcolo
Importante
Gli utenti con autorizzazioni CAN ATTACH TO possono visualizzare le chiavi dell'account del servizio nel file log4j. Prestare attenzione quando si concede questo livello di autorizzazione.
I segreti non vengono elaborati dal log stdout e stderr dai flussi del driver Spark di un cluster. Per proteggere i dati sensibili, per impostazione predefinita, i log dei driver Spark sono visualizzabili solo dagli utenti con l'autorizzazione CAN MANAGE per il processo, la modalità di accesso utente singolo e i cluster in modalità di accesso condiviso. Per consentire agli utenti con l'autorizzazione CAN ATTACH TO o CAN RESTART per visualizzare i log in questi cluster, impostare la proprietà di configurazione Spark seguente nella configurazione del cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
Nei cluster in modalità di accesso condiviso senza isolamento i log del driver Spark possono essere visualizzati dagli utenti con l'autorizzazione CAN ATTACH TO o CAN MANAGE. Per limitare gli utenti che possono leggere i log solo agli utenti con l'autorizzazione CAN MANAGE, impostare su spark.databricks.acl.needAdminPermissionToViewLogstrue.
Vedere Configurazione Spark per avere informazioni su come aggiungere proprietà Spark a una configurazione del cluster.
ACL del dashboard legacy
Capacità
NESSUNA AUTORIZZAZIONE
PUÒ VISUALIZZARE
PUÒ ESSERE ESEGUITO
PUÒ MODIFICARE
PUÒ GESTIRE
Vedere nell'elenco dei dashboard
x
x
x
x
Visualizzare dashboard e risultati
x
x
x
x
Aggiornare i risultati della query nel dashboard (o scegliere parametri diversi)
x
x
x
Modificare il dashboard
x
x
Modify permissions
x
Eliminare il dashboard
x
La modifica di un dashboard legacy richiede l'impostazione Di condivisione del visualizzatore Runas. Vedere Comportamento di aggiornamento e contesto di esecuzione.
ACL delle tabelle live delta
Capacità
NESSUNA AUTORIZZAZIONE
PUÒ VISUALIZZARE
PUÒ ESSERE ESEGUITO
PUÒ GESTIRE
PROPRIETARIO
Visualizzare i dettagli della pipeline e elencare la pipeline
x
x
x
x
Visualizzare i log dell'interfaccia utente e dei driver spark
x
x
x
x
Avviare e arrestare un aggiornamento della pipeline
x
x
x
Arrestare direttamente i cluster di pipeline
x
x
x
Modificare le impostazioni della pipeline
x
x
Eliminare la pipeline
x
x
Ripulire le esecuzioni e gli esperimenti
x
x
Modify permissions
x
x
Elenchi di controllo di accesso alle tabelle delle funzionalità
Questa tabella descrive come controllare l'accesso alle tabelle delle funzionalità nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per Unity Catalog, usare invece i privilegi di Catalogo Unity.
Nota
Il controllo di accesso dell'archivio funzionalità non regola l'accesso alla tabella Delta sottostante, regolata dal controllo di accesso alle tabelle.
Per altre informazioni sulle autorizzazioni delle tabelle delle funzionalità dell'area di lavoro, vedere Controllare l'accesso alle tabelle delle funzionalità.
Capacità
PUÒ VISUALIZZARE I METADATI
PUÒ MODIFICARE I METADATI
PUÒ GESTIRE
Leggere la tabella delle funzionalità
X
X
X
Tabella delle funzionalità di ricerca
X
X
X
Pubblicare la tabella delle funzionalità nell'archivio online
X
X
X
Scrivere funzionalità nella tabella delle funzionalità
X
X
Aggiornare la descrizione della tabella delle funzionalità
X
X
Modify permissions
X
Eliminare la tabella delle funzionalità
X
ACL di file
Capacità
NESSUNA AUTORIZZAZIONE
CAN READ
PUÒ ESSERE ESEGUITO
PUÒ MODIFICARE
PUÒ GESTIRE
Leggere il file
x
x
x
x
Commento
x
x
x
x
Allegare e scollegare un file
x
x
x
Eseguire il file in modo interattivo
x
x
x
Edit file (Modifica file)
x
x
Modify permissions
x
Elenchi di controllo di accesso alle cartelle
Capacità
NESSUNA AUTORIZZAZIONE
CAN READ
PUÒ MODIFICARE
PUÒ ESSERE ESEGUITO
PUÒ GESTIRE
Elencare gli oggetti nella cartella
x
x
x
x
x
Visualizzare gli oggetti nella cartella
x
x
x
x
Clonare ed esportare elementi
x
x
x
Eseguire oggetti nella cartella
x
x
Creare, importare ed eliminare elementi
x
Spostare e rinominare elementi
x
Modify permissions
x
ACL di spazio genie
Capacità
NESSUNA AUTORIZZAZIONE
PUÒ ESSERE ESEGUITO
PUÒ MODIFICARE
PUÒ GESTIRE
Vedere nell'elenco degli spazi Genie
x
x
x
x
Porre domande a Genie
x
x
x
Fornire commenti e suggerimenti sulla risposta
x
x
x
Aggiungere o modificare le istruzioni genie
x
x
Aggiungere o modificare domande di esempio
x
x
Aggiungere o rimuovere tabelle incluse
x
x
Monitorare uno spazio
x
Modify permissions
x
Elimina spazio
x
Visualizzare le conversazioni di altri utenti
x
Elenchi di controllo di accesso alle cartelle Git
Capacità
NESSUNA AUTORIZZAZIONE
CAN READ
PUÒ ESSERE ESEGUITO
PUÒ MODIFICARE
PUÒ GESTIRE
Elencare gli asset in una cartella
x
x
x
x
x
Visualizzare gli asset in una cartella
x
x
x
x
Clonare ed esportare asset
x
x
x
x
Eseguire asset eseguibili nella cartella
x
x
x
Modificare e rinominare gli asset in una cartella
x
x
Creare un ramo in una cartella
x
Eseguire il pull o il push di un ramo in una cartella
x
Creare, importare, eliminare e spostare asset
x
Modify permissions
x
ACL di processo
Capacità
NESSUNA AUTORIZZAZIONE
PUÒ VISUALIZZARE
PUÒ GESTIRE L'ESECUZIONE
PROPRIETARIO
PUÒ GESTIRE
Visualizzare dettagli e impostazioni del processo
x
x
x
x
Visualizza risultati
x
x
x
x
Visualizzare l'interfaccia utente di Spark, i log di un'esecuzione di un processo
x
x
x
Eseguire adesso
x
x
x
Annulla esecuzione
x
x
x
Modifica impostazioni del processo
x
x
Eliminare un processo
x
x
Modify permissions
x
x
ACL dell'esperimento MLflow
Capacità
NESSUNA AUTORIZZAZIONE
CAN READ
PUÒ MODIFICARE
PUÒ GESTIRE
Visualizzare le esecuzioni di confronto delle informazioni di esecuzione
x
x
x
Visualizzare, elencare e scaricare gli artefatti di esecuzione
x
x
x
Creare, eliminare e ripristinare le esecuzioni
x
x
Parametri di esecuzione del log, metriche, tag
x
x
Artefatti di esecuzione del log
x
x
Modificare i tag dell'esperimento
x
x
Ripulire le esecuzioni e gli esperimenti
x
Modify permissions
x
ACL del modello MLflow
Questa tabella descrive come controllare l'accesso ai modelli registrati nelle aree di lavoro non abilitate per il catalogo Unity. Se l'area di lavoro è abilitata per Unity Catalog, usare invece i privilegi di Catalogo Unity.
Capacità
NESSUNA AUTORIZZAZIONE
CAN READ
PUÒ MODIFICARE
PUÒ GESTIRE LE VERSIONI DI GESTIONE TEMPORANEA
PUÒ GESTIRE LE VERSIONI DI PRODUZIONE
PUÒ GESTIRE
Visualizzare i dettagli del modello, le versioni, le richieste di transizione di fase, le attività e gli URI di download degli artefatti
x
x
x
x
x
Richiedere una transizione della fase di versione del modello
x
x
x
x
x
Aggiungere una versione a un modello
x
x
x
x
Aggiornare il modello e la descrizione della versione
x
x
x
x
Aggiungere o modificare tag
x
x
x
x
Eseguire la transizione della versione del modello tra fasi
x
x
x
Approvare una richiesta di transizione
x
x
x
Annullare una richiesta di transizione
x
Rinominare il modello
x
Modify permissions
x
Eliminare il modello e le versioni del modello
x
ACL notebook
Capacità
NESSUNA AUTORIZZAZIONE
CAN READ
PUÒ ESSERE ESEGUITO
PUÒ MODIFICARE
PUÒ GESTIRE
Visualizza celle
x
x
x
x
Commento
x
x
x
x
Eseguire tramite %run o flussi di lavoro del notebook
x
x
x
x
Collegare e scollegare notebook
x
x
x
Eseguire comandi
x
x
x
Modifica celle
x
x
Modify permissions
x
ACL pool
Capacità
NESSUNA AUTORIZZAZIONE
PUÒ COLLEGARSI A
PUÒ GESTIRE
Collegare un cluster al pool
x
x
Eliminare il pool
x
Modifica pool
x
Modify permissions
x
ACL di query
Capacità
NESSUNA AUTORIZZAZIONE
PUÒ VISUALIZZARE
PUÒ ESSERE ESEGUITO
PUÒ MODIFICARE
PUÒ GESTIRE
Visualizzare query personalizzate
x
x
x
x
Vedere nell'elenco di query
x
x
x
x
Visualizzare il testo della query
x
x
x
x
Visualizza il risultato della query
x
x
x
x
Aggiornare il risultato della query (o scegliere parametri diversi)
x
x
x
Includere la query in un dashboard
x
x
x
Modificare il testo della query
x
x
Modificare SQL Warehouse o origine dati
x
Modify permissions
x
query di eliminazione
x
ACL segreti
Capacità
READ
WRITE
MANAGE
Leggere l'ambito del segreto
x
x
x
Elencare i segreti nell'ambito
x
x
x
Scrivere nell'ambito del segreto
x
x
Modify permissions
x
Gestione degli elenchi di controllo di accesso degli endpoint