このページでは、さまざまなワークスペース オブジェクトで使用できるアクセス許可の詳細について説明します。
Note
アクセス制御には Premium プランが必要です。
Standard プランから Premium プランにアップグレードすると、ワークスペースのアクセス制御設定が既定で無効になっています。 アクセス制御設定を有効にした後、無効にすることはできません。 詳細については、「アップグレードされたワークスペースでアクセス制御リストを有効化できる」を参照してください。
アクセス制御リストの概要
Azure Databricks では、アクセス制御リスト (ACL) を使用して、ワークスペース レベルのオブジェクトへのアクセス許可を構成できます。 ワークスペース管理者には、ワークスペース内のすべてのオブジェクトに対して CAN MANAGE アクセス許可があるため、ワークスペース内のすべてのオブジェクトに対するアクセス許可を管理できます。 ユーザーには、自分が作成したオブジェクトの CAN MANAGE アクセス許可が自動的に付与されます。
一般的なペルソナをワークスペース レベルのアクセス許可にマップする方法の例については、「Databricks のグループとアクセス許可の使用開始時に関する提案」を参照してください。
フォルダーを使用してアクセス制御リストを管理する
フォルダーにオブジェクトを追加することで、ワークスペース オブジェクトのアクセス許可を管理できます。 フォルダー内のオブジェクトには、そのフォルダーのアクセス許可設定がすべて継承されます。 たとえば、あるフォルダーに対する CAN RUN アクセス許可があるユーザーには、そのフォルダー内のアラートに対する CAN RUN アクセス許可があります。
フォルダー内のオブジェクトへのアクセス権をユーザーに付与すると、親フォルダーに対するアクセス許可がない場合でも、親フォルダーの名前を表示できます。 たとえば、test1.py という名前のノートブックは Workflows という名前のフォルダー内にあります。
test1.pyでユーザーに CAN VIEW を許可し、Workflowsに対するアクセス許可を付与しない場合、ユーザーは親フォルダーに Workflows という名前が付けられていることを確認できます。 ユーザーが Workflows フォルダー内の他のオブジェクトを表示したり操作したりするためには、各オブジェクトに対するアクセス許可が必要です。
オブジェクトをフォルダーに整理する方法については、「 ワークスペース ブラウザー」を参照してください。
アラート ACL
| Ability | アクセス許可なし | 実行可能 | 管理可能 |
|---|---|---|---|
| アラート一覧で表示する | x | x | |
| アラートと結果を表示する | x | x | |
| アラートの実行を手動でトリガーする | x | x | |
| 通知に登録する | x | x | |
| アラートの編集 | x | ||
| アクセス許可の変更 | x | ||
| アラートの削除 | x |
ACL のコンピューティング
Important
レガシ アクセス モードを使用するコンピューティング リソースでは、 分離が共有されていない場合、CAN ATTACH TO アクセス許可を持つユーザーは log4j ファイル内のサービス アカウント キーを表示できます。 このアクセス許可を付与するときは注意が必要です。 このモードとその制限方法の詳細については、「 隔離されない共有クラスターとは何か」を参照してください。
| Ability | アクセス許可なし | にアタッチ可能 | 再起動可能 | 管理可能 |
|---|---|---|---|---|
| ノートブックをコンピューティングへアタッチする | x | x | x | |
| Spark ジョブの表示 | x | x | x | |
| コンピューティング メトリックを表示する | x | x | x | |
| コンピューティングを終了する | x | x | ||
| コンピューティングを起動および再起動する | x | x | ||
| ドライバー ログの表示 | x (注を参照) | |||
| コンピューティングの編集 | x | |||
| ライブラリをコンピューティングへアタッチする | x | |||
| コンピューティングのサイズを変更する | x | |||
| アクセス許可の変更 | x |
Note
シークレット は、クラスターの Spark ドライバー ログ stdout および stderr ストリームから編集されません。 機密データを保護するために、既定では、Spark ドライバー ログは、ジョブ、専用アクセス モード、標準アクセス モード のクラスターに対する CAN MANAGE アクセス許可を持つユーザーのみが表示できます。 CAN ATTACH TO または CAN RESTART アクセス許可を持つユーザーがこれらのクラスターのログを表示できるようにするには、クラスター構成で次の Spark 構成プロパティを設定します: spark.databricks.acl.needAdminPermissionToViewLogs false。
分離なし共有アクセス モード クラスターでは、CAN ATTACH TO、CAN RESTART、CAN MANAGE アクセス許可を持つユーザーが Spark ドライバー ログを表示できます。 ログを閲覧できるユーザーを CAN MANAGE アクセス許可を持つユーザーのみに制限するには、spark.databricks.acl.needAdminPermissionToViewLogs を true に設定します。
クラスター構成に Spark プロパティを追加する方法については、「Spark の構成」を参照してください。
ダッシュボード ACL
| Ability | アクセス許可なし | 表示可能/実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|
| ダッシュボードと結果を見る | x | x | x | |
| ウィジェットを操作する | x | x | x | |
| ダッシュボードを更新する | x | x | x | |
| ダッシュボードの編集 | x | x | ||
| ダッシュボードの複製 | x | x | x | |
| ダッシュボード スナップショットを公開する | x | x | ||
| アクセス許可の変更 | x | |||
| ダッシュボードの削除 | x |
レガシ ダッシュボード ACL
| Ability | アクセス許可なし | 表示可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| ダッシュボードの一覧で見る | x | x | x | x | |
| ダッシュボードと結果を見る | x | x | x | x | |
| ダッシュボードでクエリ結果を更新する (または、別のパラメーターを選択する) | x | x | x | ||
| ダッシュボードの編集 | x | x | |||
| アクセス許可の変更 | x | ||||
| ダッシュボードの削除 | x |
レガシ ダッシュボードを編集するには、[ビューアーとして実行] 共有設定が必要です。 「動作と実行コンテキストを更新する」を参照してください。
データベース インスタンス ACL
| Ability | アクセス許可なし | 作成可能 | 使用可能 | 管理可能 |
|---|---|---|---|---|
| データベース インスタンスを取得する | x | x | x | |
| データベース インスタンスを一覧表示する | x | x | x | |
| データベース インスタンスを作成する | x | x | x | |
| 同期テーブルを作成する | x | x | ||
| Unity カタログのデータベースを作成する | x | |||
| Postgres ロールの変更 | x | |||
| データベース インスタンスを削除する | x | |||
| アクセス許可の変更 | x | |||
| データベース インスタンスを一時停止する | x | |||
| データベース インスタンスの再開 | x |
Note
- すべてのワークスペース ユーザーは 、CAN CREATE アクセス許可を継承します。
- Unity カタログと対話する操作を実行する場合は、Unity Catalog オブジェクトに対するアクセス許可が必要です。
- Unity カタログ データベース カタログの作成: Unity カタログメタストアで CREATE CATALOG が必要です。
- 同期テーブルの作成: ソース テーブルの読み取り、宛先スキーマへの書き込み、パイプライン ストレージ スキーマへの書き込みには、Unity カタログのアクセス許可が必要です。
Lakeflow 宣言型パイプライン ACL
| Ability | アクセス許可なし | 表示可能 | 実行可能 | 管理可能 | 所有者である |
|---|---|---|---|---|---|
| パイプラインの詳細を表示し、パイプラインを一覧表示する | x | x | x | x | |
| Spark UI とドライバー ログを表示する | x | x | x | x | |
| パイプラインの更新を開始および停止する | x | x | x | ||
| パイプライン クラスターを直接停止する | x | x | x | ||
| パイプラインの設定を編集する | x | x | |||
| パイプラインを削除する | x | x | |||
| 実行と実験の消去 | x | x | |||
| アクセス許可の変更 | x | x |
特徴テーブル ACL
この表では、Unity Catalog で有効になっていないワークスペース内の機能テーブルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合、代わりに Unity Catalog 特権を使用します。
Note
- Feature Store のアクセス制御では、基になる Delta テーブルへのアクセスは制御されません。アクセスは、テーブルのアクセス制御によって制御されます。
- ワークスペース特徴量テーブルのアクセス許可の詳細については、「ワークスペース Feature Store での特徴テーブルへのアクセスの制御 (レガシ)」を参照してください。
| Ability | メタデータを表示できる | メタデータを編集できる | 管理可能 |
|---|---|---|---|
| 機能テーブルの読み取り | X | X | X |
| 機能テーブルの検索 | X | X | X |
| 機能テーブルのオンライン ストアへの公開 | X | X | X |
| 機能テーブルへの機能の書き込み | X | X | |
| 機能テーブルの説明の更新 | X | X | |
| アクセス許可の変更 | X | ||
| 機能テーブルの削除 | X |
ファイル ACL
| Ability | アクセス許可なし | 表示可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| ファイルの読み取り | x | x | x | x | |
| Comment | x | x | x | x | |
| ファイルをアタッチおよびデタッチする | x | x | x | ||
| ファイルを対話形式で実行する | x | x | x | ||
| ファイルの編集 | x | x | |||
| アクセス許可の変更 | x |
Note
ワークスペース UI はビューのみのアクセスを CAN VIEW と見なしますが、Permissions API では CAN READ を使用して同じレベルのアクセスを表します。
フォルダー ACL
| Ability | アクセス許可なし | 表示可能 | 編集可能 | 実行可能 | 管理可能 |
|---|---|---|---|---|---|
| フォルダー内のオブジェクトを一覧表示する | x | x | x | x | x |
| フォルダー内のオブジェクトを表示する | x | x | x | x | |
| 項目の複製とエクスポート | x | x | x | ||
| フォルダー内のオブジェクトを実行する | x | x | |||
| 項目の作成、インポート、削除 | x | ||||
| 項目の移動と名前の変更 | x | ||||
| アクセス許可の変更 | x |
Note
ワークスペース UI はビューのみのアクセスを CAN VIEW と見なしますが、Permissions API では CAN READ を使用して同じレベルのアクセスを表します。
Genie スペース ACL
| Ability | アクセス許可なし | 表示可能/実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|
| Genie スペース一覧を参照する | x | x | x | |
| Genie に質問する | x | x | x | |
| 応答フィードバックを提供する | x | x | x | |
| Genie 指示を追加または編集する | x | x | ||
| サンプル質問を追加または編集する | x | x | ||
| 含まれているテーブルを追加または削除する | x | x | ||
| スペースを監視する | x | |||
| アクセス許可の変更 | x | |||
| 領域を削除する | x | |||
| 他のユーザーの会話を表示する | x |
Git フォルダー ACL
| Ability | アクセス許可なし | 読み取り可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| フォルダー内の資産を一覧表示する | x | x | x | x | x |
| フォルダー内の資産を表示する | x | x | x | x | |
| 資産を複製およびエクスポートする | x | x | x | x | |
| フォルダー内の実行可能な資産を実行する | x | x | x | ||
| フォルダー内の資産の編集および名前変更を行う | x | x | |||
| フォルダーにブランチを作成する | x | ||||
| フォルダーでブランチを切り替える | x | ||||
| ブランチをフォルダーにプルまたはプッシュする | x | ||||
| 資産を作成、インポート、削除、および移動する | x | ||||
| アクセス許可の変更 | x |
ジョブ ACL
| Ability | アクセス許可なし | 表示可能 | 実行を管理できる | 所有者である | 管理可能 |
|---|---|---|---|---|---|
| ジョブの詳細と設定を表示する | x | x | x | x | |
| 結果を表示する | x | x | x | x | |
| Spark UI、ジョブ実行のログを表示する | x | x | x | ||
| 今すぐ実行 | x | x | x | ||
| 実行の取り消し | x | x | x | ||
| ジョブ設定を編集する | x | x | |||
| ジョブを削除する | x | x | |||
| アクセス許可の変更 | x | x |
Note
ジョブの作成者には、既定で IS OWNER アクセス許可があります。
1 つのジョブに複数の所有者を指定することはできません。
グループに所有者として Is Owner 権限を割り当てることはできません。
[今すぐ実行] を使用してトリガーされるジョブは、今すぐ実行を発行したユーザーではなく、ジョブ所有者のアクセス許可を前提としています。
ジョブのアクセス制御は、Lakeflow ジョブ UI に表示されるジョブとその実行に適用されます。 次の場合には適用されません。
- モジュールコードまたはリンクされたコードを実行するノートブック ワークフロー。 これらは、ノートブック自体のアクセス許可を使用します。 ノートブックが Git から取得された場合、新しいコピーが作成され、そのファイルは実行をトリガーしたユーザーのアクセス許可を継承します。
-
API によって送信されたジョブ。 API 要求で
access_control_listを明示的に設定しない限り、これらはノートブックの既定のアクセス許可を使用します。
:::
MLflow 実験 ACL
MLflow 実験 ACL は、ノートブックの実験とワークスペースの実験では異なります。 ノートブックの実験は、作成したノートブックとは別に管理できないため、アクセス許可はノートブックのアクセス許可に似ています。
2 種類の実験の詳細については、「MLflow 実験を使用したトレーニング実行の整理」を参照してください。
ノートブックの実験の ACL
これらのアクセス許可を変更すると、実験に対応するノートブックのアクセス許可も変更されます。
| Ability | アクセス許可なし | 読み取り可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| ノートブックを表示する | x | x | x | x | |
| ノートブックにコメントを付ける | x | x | x | x | |
| ノートブックをコンピューティングにアタッチ/デタッチする | x | x | x | ||
| ノートブックでコマンドを実行する | x | x | x | ||
| ノートブックを編集する | x | x | |||
| アクセス許可の変更 | x |
ワークスペースの実験の ACL
| Ability | アクセス許可なし | 読み取り可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|
| 実験を表示する | x | x | x | |
| 実験への実行をログに記録する | x | x | ||
| 実験を編集する | x | x | ||
| 実験を削除する | x | |||
| アクセス許可の変更 | x |
MLflow モデル ACL
この表では、Unity Catalog で有効になっていないワークスペース内の登録済みモデルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合、代わりに Unity Catalog 特権を使用します。
| Ability | アクセス許可なし | 読み取り可能 | 編集可能 | ステージング バージョンを管理できます | 運用環境のバージョンを管理できます | 管理可能 |
|---|---|---|---|---|---|---|
| モデルの詳細、バージョン、ステージ切り替え要求、アクティビティ、成果物のダウンロード URI を表示する | x | x | x | x | x | |
| モデル バージョ ンステージの切り替えの要求 | x | x | x | x | x | |
| モデルへのバージョンの追加 | x | x | x | x | ||
| モデルとバージョンの更新の説明 | x | x | x | x | ||
| タグを追加または編集する | x | x | x | x | ||
| ステージ間のモデル バージョンの切り替え | x | x | x | |||
| 切り替え要求を承認する | x | x | x | |||
| 切り替え要求を取り消す | x | |||||
| モデルの名前を変更する | x | |||||
| アクセス許可の変更 | x | |||||
| モデルおよびモデル バージョンの削除 | x |
ノートブック ACL
| Ability | アクセス許可なし | 表示可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| セルを表示する | x | x | x | x | |
| Comment | x | x | x | x | |
| %run またはノートブック ワークフローを使用して実行する | x | x | x | x | |
| ノートブックのアタッチとデタッチ | x | x | x | ||
| コマンドを実行する | x | x | x | ||
| セルを編集する | x | x | |||
| アクセス許可の変更 | x |
Note
ワークスペース UI はビューのみのアクセスを CAN VIEW と見なしますが、Permissions API では CAN READ を使用して同じレベルのアクセスを表します。
プール ACL
| Ability | アクセス許可なし | にアタッチ可能 | 管理可能 |
|---|---|---|---|
| クラスターをプールにアタッチする | x | x | |
| プールの削除 | x | ||
| プールの編集 | x | ||
| アクセス許可の変更 | x |
クエリ ACL
| Ability | アクセス許可なし | 表示可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| 自分のクエリを表示する | x | x | x | x | |
| クエリ一覧を参照する | x | x | x | x | |
| クエリ テキストを表示する | x | x | x | x | |
| クエリ結果を表示する | x | x | x | x | |
| クエリ結果を更新する (または別のパラメーターを選択する) | x | x | x | ||
| ダッシュボードにクエリを含める | x | x | x | ||
| SQL ウェアハウスまたはデータ ソースを変更する | x | x | x | ||
| クエリ テキストを編集する | x | x | |||
| アクセス許可の変更 | x | ||||
| クエリの削除 | x |
レガシ SQL エディタークエリ ACL
| Ability | アクセス許可なし | 表示可能 | 実行可能 | 編集可能 | 管理可能 |
|---|---|---|---|---|---|
| 自分のクエリを表示する | x | x | x | x | |
| クエリ一覧を参照する | x | x | x | x | |
| クエリ テキストを表示する | x | x | x | x | |
| クエリ結果を表示する | x | x | x | x | |
| クエリ結果を更新する (または別のパラメーターを選択する) | x | x | x | ||
| ダッシュボードにクエリを含める | x | x | x | ||
| クエリ テキストを編集する | x | x | |||
| SQL ウェアハウスまたはデータ ソースを変更する | x | ||||
| アクセス許可の変更 | x | ||||
| クエリの削除 | x |
シークレット ACL
| Ability | READ | WRITE | MANAGE |
|---|---|---|---|
| シークレット スコープを読み取る | x | x | x |
| スコープ内のシークレットを一覧表示する | x | x | x |
| シークレット スコープへ書き込む | x | x | |
| アクセス許可の変更 | x |
エンドポイント ACL の提供
| Ability | アクセス許可なし | 表示可能 | CANクエリ | 管理可能 |
|---|---|---|---|---|
| エンドポイントを取得する | x | x | x | |
| エンドポイントを一覧表示する | x | x | x | |
| クエリ エンドポイント | x | x | ||
| エンドポイント構成を更新する | x | |||
| エンドポイントを削除する | x | |||
| アクセス許可の変更 | x |
SQL ウェアハウス ACL
| Ability | アクセス許可なし | 表示可能 | CANモニター | 使用可能 | 所有者である | 管理可能 |
|---|---|---|---|---|---|---|
| ウェアハウスを起動する | x | x | x | x | ||
| ウェアハウスの詳細を表示する | x | x | x | x | x | |
| ウェアハウス クエリを表示する | x | x | x | x | ||
| クエリを実行する | x | x | x | x | ||
| [ウェアハウスの監視] タブを表示する | x | x | x | x | ||
| ウェアハウスを停止する | x | x | ||||
| ウェアハウスを削除する | x | x | ||||
| ウェアハウスを編集する | x | x | ||||
| アクセス許可の変更 | x | x |
ベクトル検索エンドポイント ACL
| Ability | アクセス許可なし | 作成可能 | 使用可能 | 管理可能 |
|---|---|---|---|---|
| エンドポイントを取得する | x | x | x | |
| エンドポイントを一覧表示する | x | x | x | |
| エンドポイントを作成する | x | x | x | |
| エンドポイントを使用する (インデックスを作成する) | x | x | ||
| エンドポイントを削除する | x | |||
| アクセス許可の変更 | x |