この記事では、さまざまなワークスペース オブジェクトで使用できるアクセス許可の詳細について説明します。
注
アクセス制御には Premium プランが必要です。
Standard プランから Premium プランにアップグレードすると、ワークスペースのアクセス制御設定が既定で無効になっています。 アクセス制御設定を有効にした後、無効にすることはできません。 詳細については、「アップグレードされたワークスペースでアクセス制御リストを有効化できる」を参照してください。
アクセス制御リストの概要
Azure Databricks では、アクセス制御リスト (ACL) を使用して、ワークスペース レベルのオブジェクトへのアクセス許可を構成できます。 ワークスペース管理者には、ワークスペース内のすべてのオブジェクトに対して CAN MANAGE アクセス許可があるため、ワークスペース内のすべてのオブジェクトに対するアクセス許可を管理できます。 ユーザーには、自分が作成したオブジェクトの CAN MANAGE アクセス許可が自動的に付与されます。
一般的なペルソナをワークスペース レベルのアクセス許可にマップする方法の例については、「Databricks のグループとアクセス許可の使用開始時に関する提案」を参照してください。
フォルダーを使用してアクセス制御リストを管理する
フォルダーにオブジェクトを追加することで、ワークスペース オブジェクトのアクセス許可を管理できます。 フォルダー内のオブジェクトには、そのフォルダーのアクセス許可設定がすべて継承されます。 たとえば、あるフォルダーに対する CAN RUN アクセス許可があるユーザーには、そのフォルダー内のアラートに対する CAN RUN アクセス許可があります。
フォルダー内のオブジェクトへのアクセス権をユーザーに付与すると、親フォルダーに対するアクセス許可がない場合でも、親フォルダーの名前を表示できます。 たとえば、test1.py という名前のノートブックは Workflows という名前のフォルダー内にあります。 test1.pyでユーザーに CAN VIEW を許可し、Workflowsに対するアクセス許可を付与しない場合、ユーザーは親フォルダーに Workflows という名前が付けられていることを確認できます。 ユーザーが Workflows フォルダー内の他のオブジェクトを表示したり操作したりするためには、各オブジェクトに対するアクセス許可が必要です。
オブジェクトをフォルダーに整理する方法の詳細については、「ワークスペース ブラウザー」を参照してください。
AI/BI ダッシュボード ACL
| 能力 | NO PERMISSIONS | CAN VIEW/CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|
| ダッシュボードと結果を見る | x | x | x | |
| ウィジェットを操作する | x | x | x | |
| ダッシュボードを更新する | x | x | x | |
| ダッシュボードを編集する | x | x | ||
| ダッシュボードを複製する | x | x | x | |
| ダッシュボード スナップショットを公開する | x | x | ||
| アクセス許可の変更 | x | |||
| ダッシュボードの削除 | x |
アラート ACL
| 能力 | NO PERMISSIONS | CAN RUN | CAN MANAGE |
|---|---|---|---|
| アラート一覧で表示する | x | x | |
| アラートと結果を表示する | x | x | |
| アラートの実行を手動でトリガーする | x | x | |
| 通知に登録する | x | x | |
| アラートの編集 | x | ||
| アクセス許可の変更 | x | ||
| 通知の削除 | x |
ACL のコンピューティング
重要
CAN ATTACH TO アクセス許可を持つユーザーは、log4j ファイル内のサービス アカウント キーを表示できます。 このアクセス許可レベルを付与する場合は注意が必要です。
| 能力 | NO PERMISSIONS | CAN ATTACH TO | CAN RESTART | CAN MANAGE |
|---|---|---|---|---|
| ノートブックをコンピューティングへアタッチする | x | x | x | |
| Spark ジョブの表示 | x | x | x | |
| コンピューティング メトリックを表示する | x | x | x | |
| コンピューティングを終了する | x | x | ||
| コンピューティングを起動および再起動する | x | x | ||
| ドライバー ログの表示 | x (注を参照) | |||
| コンピューティングを編集する | x | |||
| ライブラリをコンピューティングへアタッチする | x | |||
| コンピューティングのサイズを変更する | x | |||
| アクセス許可の変更 | x |
注
シークレット は、クラスターの Spark ドライバー ログ stdout および stderr ストリームから編集されません。 機密データを保護するために、既定では、Spark ドライバー ログは、ジョブ、専用アクセス モード、標準アクセス モード のクラスターに対する CAN MANAGE アクセス許可を持つユーザーのみが表示できます。 CAN ATTACH TO または CAN RESTART アクセス許可を持つユーザーがこれらのクラスターのログを表示できるようにするには、クラスター構成で次の Spark 構成プロパティを設定します: spark.databricks.acl.needAdminPermissionToViewLogs false。
"分離なし" 共有アクセス モード クラスターでは、"アタッチ可能" または "管理可能" アクセス許可を持つユーザーが Spark ドライバーのログを表示できます。 ログを閲覧できるユーザーを CAN MANAGE アクセス許可を持つユーザーのみに制限するには、spark.databricks.acl.needAdminPermissionToViewLogs を true に設定します。
クラスター構成に Spark プロパティを追加する方法については、「Spark の構成」を参照してください。
レガシ ダッシュボード ACL
| 能力 | NO PERMISSIONS | CAN VIEW | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
| ダッシュボードの一覧で見る | x | x | x | x | |
| ダッシュボードと結果を見る | x | x | x | x | |
| ダッシュボードでクエリ結果を更新する (または、別のパラメーターを選択する) | x | x | x | ||
| ダッシュボードを編集する | x | x | |||
| アクセス許可の変更 | x | ||||
| ダッシュボードの削除 | x |
レガシ ダッシュボードを編集するには、[ビューアーとして実行] 共有設定が必要です。 「動作と実行コンテキストを更新する」を参照してください。
データベース インスタンス ACL
| 能力 | NO PERMISSIONS | 作成可能 | CAN USE | CAN MANAGE |
|---|---|---|---|---|
| データベース インスタンスを取得する | x | x | x | |
| データベース インスタンスを一覧表示する | x | x | x | |
| データベース インスタンスを作成する | x | x | x | |
| 同期テーブルを作成する | x | x | ||
| Unity カタログのデータベースを作成する | x | |||
| Postgres ロールの変更 | x | |||
| データベース インスタンスを削除する | x | |||
| アクセス許可の変更 | x | |||
| データベース インスタンスを一時停止する | x | |||
| データベース インスタンスの再開 | x |
注
- すべてのワークスペース ユーザーは 、CAN CREATE アクセス許可を継承します。
- Unity カタログと対話する操作を実行する場合は、Unity Catalog オブジェクトに対するアクセス許可が必要です。
- Unity カタログ データベース カタログの作成: Unity カタログメタストアで CREATE CATALOG が必要です。
- 同期テーブルの作成: ソース テーブルの読み取り、宛先スキーマへの書き込み、パイプライン ストレージ スキーマへの書き込みには、Unity カタログのアクセス許可が必要です。
Lakeflow 宣言型パイプライン ACL
| 能力 | NO PERMISSIONS | CAN VIEW | CAN RUN | CAN MANAGE | IS OWNER |
|---|---|---|---|---|---|
| パイプラインの詳細を表示し、パイプラインを一覧表示する | x | x | x | x | |
| Spark UI とドライバー ログを表示する | x | x | x | x | |
| パイプラインの更新を開始および停止する | x | x | x | ||
| パイプライン クラスターを直接停止する | x | x | x | ||
| パイプラインの設定を編集する | x | x | |||
| パイプラインを削除する | x | x | |||
| 実行と実験の消去 | x | x | |||
| アクセス許可の変更 | x | x |
特徴テーブル ACL
この表では、Unity Catalog で有効になっていないワークスペース内の機能テーブルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合、代わりに Unity Catalog 特権を使用します。
注
- Feature Store のアクセス制御では、基になる Delta テーブルへのアクセスは制御されません。これは、テーブル アクセス制御によって管理されます。
- ワークスペース特徴量テーブルのアクセス許可の詳細については、「ワークスペース Feature Store での特徴テーブルへのアクセスの制御 (レガシ)」を参照してください。
| 能力 | CAN VIEW METADATA | CAN EDIT METADATA | CAN MANAGE |
|---|---|---|---|
| 機能テーブルの読み取り | X | X | X |
| 機能テーブルの検索 | X | X | X |
| 機能テーブルのオンライン ストアへの公開 | X | X | X |
| 機能テーブルへの機能の書き込み | X | X | |
| 機能テーブルの説明の更新 | X | X | |
| アクセス許可の変更 | X | ||
| 機能テーブルの削除 | X |
::::
ファイル ACL
| 能力 | NO PERMISSIONS | CAN VIEW | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
| ファイルの読み取り | x | x | x | x | |
| Comment | x | x | x | x | |
| ファイルをアタッチおよびデタッチする | x | x | x | ||
| ファイルを対話形式で実行する | x | x | x | ||
| ファイルの編集 | x | x | |||
| アクセス許可の変更 | x |
注
ワークスペース UI はビューのみのアクセスを CAN VIEW と見なしますが、Permissions API では CAN READ を使用して同じレベルのアクセスを表します。
フォルダー ACL
| 能力 | NO PERMISSIONS | CAN VIEW | CAN EDIT | CAN RUN | CAN MANAGE |
|---|---|---|---|---|---|
| フォルダー内のオブジェクトを一覧表示する | x | x | x | x | x |
| フォルダー内のオブジェクトを表示する | x | x | x | x | |
| 項目の複製とエクスポート | x | x | x | ||
| フォルダー内のオブジェクトを実行する | x | x | |||
| 項目の作成、インポート、削除 | x | ||||
| 項目の移動と名前の変更 | x | ||||
| アクセス許可の変更 | x |
注
ワークスペース UI はビューのみのアクセスを CAN VIEW と見なしますが、Permissions API では CAN READ を使用して同じレベルのアクセスを表します。
Genie スペース ACL
| 能力 | NO PERMISSIONS | CAN VIEW/CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|
| Genie スペース一覧を参照する | x | x | x | |
| Genie に質問する | x | x | x | |
| 応答フィードバックを提供する | x | x | x | |
| Genie 指示を追加または編集する | x | x | ||
| サンプル質問を追加または編集する | x | x | ||
| 含まれているテーブルを追加または削除する | x | x | ||
| スペースを監視する | x | |||
| アクセス許可の変更 | x | |||
| スペースを削除する | x | |||
| 他のユーザーの会話を表示する | x | x |
Git フォルダー ACL
| 能力 | NO PERMISSIONS | CAN READ | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
| フォルダー内の資産を一覧表示する | x | x | x | x | x |
| フォルダー内の資産を表示する | x | x | x | x | |
| 資産を複製およびエクスポートする | x | x | x | x | |
| フォルダー内の実行可能な資産を実行する | x | x | x | ||
| フォルダー内の資産の編集および名前変更を行う | x | x | |||
| フォルダーにブランチを作成する | x | ||||
| フォルダーでブランチを切り替える | x | ||||
| ブランチをフォルダーにプルまたはプッシュする | x | ||||
| 資産を作成、インポート、削除、および移動する | x | ||||
| アクセス許可の変更 | x |
ジョブ ACL
| 能力 | NO PERMISSIONS | CAN VIEW | CAN MANAGE RUN | IS OWNER | CAN MANAGE |
|---|---|---|---|---|---|
| ジョブの詳細と設定を表示する | x | x | x | x | |
| 結果の表示 | x | x | x | x | |
| Spark UI、ジョブ実行のログを表示する | x | x | x | ||
| 今すぐ実行 | x | x | x | ||
| 実行の取り消し | x | x | x | ||
| ジョブ設定を編集する | x | x | |||
| ジョブを削除する | x | x | |||
| アクセス許可の変更 | x | x |
注
ジョブの作成者には、既定で IS OWNER アクセス許可があります。
1 つのジョブに複数の所有者を指定することはできません。
グループに所有者として Is Owner 権限を割り当てることはできません。
[今すぐ実行] を使用してトリガーされるジョブは、今すぐ実行を発行したユーザーではなく、ジョブ所有者のアクセス許可を前提としています。
ジョブのアクセス制御は、Lakeflow ジョブ UI に表示されるジョブとその実行に適用されます。 次の場合には適用されません。
モジュールコードまたはリンクされたコードを実行するノートブック ワークフロー。 これらは、ノートブック自体のアクセス許可を使用します。 ノートブックが Git から取得された場合、新しいコピーが作成され、そのファイルは実行をトリガーしたユーザーのアクセス許可を継承します。
API によって送信されたジョブ。 API 要求で
access_control_listを明示的に設定しない限り、これらはノートブックの既定のアクセス許可を使用します。
MLflow 実験 ACL
MLflow 実験 ACL は、ノートブックの実験とワークスペースの実験では異なります。 ノートブックの実験は、作成したノートブックとは別に管理できないため、アクセス許可はノートブックのアクセス許可に似ています。
2 種類の実験の詳細については、「MLflow 実験を使用したトレーニング実行の整理」を参照してください。
:::
ノートブックの実験の ACL
これらのアクセス許可を変更すると、実験に対応するノートブックのアクセス許可も変更されます。
| 能力 | NO PERMISSIONS | CAN READ | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
| ノートブックを表示する | x | x | x | x | |
| ノートブックにコメントを付ける | x | x | x | x | |
| ノートブックをコンピューティングにアタッチ/デタッチする | x | x | x | ||
| ノートブックでコマンドを実行する | x | x | x | ||
| ノートブックを編集する | x | x | |||
| アクセス許可の変更 | x |
ワークスペースの実験の ACL
| 能力 | NO PERMISSIONS | CAN READ | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|
| 実験を表示する | x | x | x | |
| 実験への実行をログに記録する | x | x | ||
| 実験を編集する | x | x | ||
| 実験を削除する | x | |||
| アクセス許可の変更 | x |
MLflow モデル ACL
この表では、Unity Catalog で有効になっていないワークスペース内の登録済みモデルへのアクセスを制御する方法について説明します。 ワークスペースで Unity Catalog が有効になっている場合、代わりに Unity Catalog 特権を使用します。
| 能力 | NO PERMISSIONS | CAN READ | CAN EDIT | CAN MANAGE STAGING VERSIONS | CAN MANAGE PRODUCTION VERSIONS | CAN MANAGE |
|---|---|---|---|---|---|---|
| モデルの詳細、バージョン、ステージ切り替え要求、アクティビティ、成果物のダウンロード URI を表示する | x | x | x | x | x | |
| モデル バージョ ンステージの切り替えの要求 | x | x | x | x | x | |
| モデルへのバージョンの追加 | x | x | x | x | ||
| モデルとバージョンの更新の説明 | x | x | x | x | ||
| タグを追加または編集する | x | x | x | x | ||
| ステージ間のモデル バージョンの切り替え | x | x | x | |||
| 切り替え要求を承認する | x | x | x | |||
| 切り替え要求を取り消す | x | |||||
| モデルの名前変更 | x | |||||
| アクセス許可の変更 | x | |||||
| モデルおよびモデル バージョンの削除 | x |
ノートブック ACL
| 能力 | NO PERMISSIONS | CAN VIEW | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
| セルの表示 | x | x | x | x | |
| Comment | x | x | x | x | |
| %run またはノートブック ワークフローを使用して実行する | x | x | x | x | |
| ノートブックのアタッチとデタッチ | x | x | x | ||
| コマンドの実行 | x | x | x | ||
| セルの編集 | x | x | |||
| アクセス許可の変更 | x |
注
ワークスペース UI はビューのみのアクセスを CAN VIEW と見なしますが、Permissions API では CAN READ を使用して同じレベルのアクセスを表します。
プール ACL
| 能力 | NO PERMISSIONS | CAN ATTACH TO | CAN MANAGE |
|---|---|---|---|
| クラスターをプールにアタッチする | x | x | |
| プールを削除する | x | ||
| プールを編集する | x | ||
| アクセス許可の変更 | x |
クエリ ACL
| 能力 | NO PERMISSIONS | CAN VIEW | CAN RUN | CAN EDIT | CAN MANAGE |
|---|---|---|---|---|---|
| 自分のクエリを表示する | x | x | x | x | |
| クエリ一覧を参照する | x | x | x | x | |
| クエリ テキストを表示する | x | x | x | x | |
| クエリ結果を表示する | x | x | x | x | |
| クエリ結果を更新する (または別のパラメーターを選択する) | x | x | x | ||
| ダッシュボードにクエリを含める | x | x | x | ||
| クエリ テキストを編集する | x | x | |||
| SQL ウェアハウスまたはデータ ソースを変更する | x | ||||
| アクセス許可の変更 | x | ||||
| 削除クエリ | x |
シークレット ACL
| 能力 | お読みください | 書き込み | 管理 |
|---|---|---|---|
| シークレット スコープを読み取る | x | x | x |
| スコープ内のシークレットを一覧表示する | x | x | x |
| シークレット スコープへ書き込む | x | x | |
| アクセス許可の変更 | x |
エンドポイント ACL の提供
| 能力 | NO PERMISSIONS | CAN VIEW | CAN QUERY | CAN MANAGE |
|---|---|---|---|---|
| エンドポイントを取得する | x | x | x | |
| エンドポイントを一覧表示する | x | x | x | |
| クエリ エンドポイント | x | x | ||
| エンドポイント構成を更新する | x | |||
| エンドポイントを削除する | x | |||
| アクセス許可の変更 | x |
SQL ウェアハウス ACL
| 能力 | NO PERMISSIONS | CAN VIEW | CANモニター | CAN USE | IS OWNER | CAN MANAGE |
|---|---|---|---|---|---|---|
| ウェアハウスを起動する | x | x | x | x | ||
| ウェアハウスの詳細を表示する | x | x | x | x | x | |
| ウェアハウス クエリを表示する | x | x | x | x | ||
| クエリを実行する | x | x | x | x | ||
| [ウェアハウスの監視] タブを表示する | x | x | x | x | ||
| ウェアハウスを停止する | x | x | ||||
| ウェアハウスを削除する | x | x | ||||
| ウェアハウスを編集する | x | x | ||||
| アクセス許可の変更 | x | x |
ベクトル検索エンドポイント ACL
| 能力 | NO PERMISSIONS | 作成可能 | CAN USE | CAN MANAGE |
|---|---|---|---|---|
| エンドポイントを取得する | x | x | x | |
| エンドポイントを一覧表示する | x | x | x | |
| エンドポイントを作成する | x | x | x | |
| エンドポイントを使用する (インデックスを作成する) | x | x | ||
| エンドポイントを削除する | x | |||
| アクセス許可の変更 | x |