Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página descreve detalhes sobre as permissões disponíveis para os diferentes objetos de espaço de trabalho.
Note
O controle de acesso requer o plano Premium.
As configurações de controle de acesso são desabilitadas por padrão em espaços de trabalho que são atualizados do plano Standard para o plano Premium. Uma vez que uma configuração de controle de acesso está ativada, ela não pode ser desativada. Para obter mais informações, consulte As listas de controles de acesso podem ser habilitadas em espaços de trabalho atualizados.
Visão geral das listas de controle de acesso
No Azure Databricks, você pode usar listas de controle de acesso (ACLs) para configurar a permissão para acessar objetos no nível do espaço de trabalho. Os administradores de espaço de trabalho têm a permissão CAN MANAGE em todos os objetos em seu espaço de trabalho, o que lhes dá a capacidade de gerenciar permissões em todos os objetos em seus espaços de trabalho. Os usuários têm automaticamente a permissão CAN MANAGE para objetos que criam.
Para obter um exemplo de como mapear personas típicas para permissões no nível do espaço de trabalho, consulte a Proposta de introdução aos grupos e permissões do Databricks.
Gerenciar listas de controle de acesso com pastas
Você pode gerenciar permissões de objeto de espaço de trabalho adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tem a permissão CAN RUN em uma pasta tem a permissão CAN RUN nos alertas dessa pasta.
Se você conceder a um usuário acesso a um objeto dentro da pasta, ele poderá exibir o nome da pasta pai, mesmo que não tenha permissões na pasta pai. Por exemplo, um bloco de anotações chamado test1.py está em uma pasta chamada Workflows. Se conceder a um utilizador a permissão para VER em test1.py e nenhuma permissão em Workflows, o utilizador poderá ver que a pasta pai chama-se Workflows. O usuário não pode exibir ou acessar quaisquer outros objetos na pasta, a Workflows menos que tenham recebido permissões sobre eles.
Para saber mais sobre como organizar objetos em pastas, consulte Navegador de espaço de trabalho.
ACLs de alertas
| Ability | SEM PERMISSÕES | PODE CORRER | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|
| Ver na lista de alertas | x | x | |
| Ver alerta e resultado | x | x | |
| Acionar manualmente a execução do alerta | x | x | |
| Subscrever as notificações | x | x | |
| Editar alerta | x | ||
| Modificar permissões | x | ||
| Excluir alerta | x |
Computar ACLs
Important
Em recursos de computação que usam o modo de acesso herdado Sem isolamento compartilhado, os usuários com permissões CAN ATTACH TO podem visualizar as chaves da conta de serviço no arquivo log4j. Tenha cuidado ao conceder essa permissão. Para obter mais detalhes sobre esse modo e como restringi-lo, consulte O que não são clusters compartilhados de isolamento?.
| Ability | SEM PERMISSÕES | PODE ANEXAR A | PODE REINICIAR: | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|
| Anexar bloco de notas à computação | x | x | x | |
| Ver IU do Spark | x | x | x | |
| Ver métricas de computação | x | x | x | |
| Encerrar a computação | x | x | ||
| Iniciar e reiniciar a computação | x | x | ||
| Ver registos de controladores | x (ver nota) | |||
| Editar computação | x | |||
| Anexar biblioteca à computação | x | |||
| Redimensionar computação | x | |||
| Modificar permissões | x |
Note
Os segredos não são removidos do log e dos fluxos do driver Spark de um cluster. Para proteger dados confidenciais, por padrão, os registos do controlador do Spark podem ser visualizados apenas por utilizadores com permissão CAN MANAGE no trabalho em questão, em clusters de modo de acesso dedicado e em clusters de modo de acesso padrão. Para permitir que os usuários com permissão CAN ATTACH TO ou CAN RESTART visualizem os logs nesses clusters, defina a seguinte propriedade de configuração do Spark na configuração do cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
Em clusters do modo de acesso compartilhado Sem Isolamento, os logs do driver do Spark podem ser visualizados por usuários com permissão CAN ATTACH TO, CAN RESTART ou CAN MANAGE. Para limitar quem pode ler os logs apenas aos usuários com a permissão CAN MANAGE, defina spark.databricks.acl.needAdminPermissionToViewLogs como true.
Consulte Configuração do Spark para saber como adicionar propriedades do Spark a uma configuração de cluster.
ACLs do Dashboard
| Ability | SEM PERMISSÕES | PODE VER/PODE EXECUTAR | PODE EDITAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|
| Ver painel e resultados | x | x | x | |
| Interaja com widgets | x | x | x | |
| Atualizar o dashboard | x | x | x | |
| Editar painel | x | x | ||
| Painel de clonagem | x | x | x | |
| Publicar instantâneo do painel | x | x | ||
| Modificar permissões | x | |||
| Excluir painel | x |
ACLs de painel herdadas
| Ability | SEM PERMISSÕES | PODE VER | PODE CORRER | PODE EDITAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|---|
| Ver na lista de painéis de controlo | x | x | x | x | |
| Ver painel e resultados | x | x | x | x | |
| Atualizar os resultados da consulta no painel (ou escolher parâmetros diferentes) | x | x | x | ||
| Editar painel | x | x | |||
| Modificar permissões | x | ||||
| Excluir painel | x |
A edição de um painel herdado requer a configuração Executar como compartilhamento de visualizador . Consulte o comportamento de atualização e o contexto de execução
ACLs de instância de banco de dados
| Ability | SEM PERMISSÕES | PODE CRIAR | PODE USAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|
| Obter instância de banco de dados | x | x | x | |
| Listar instâncias de banco de dados | x | x | x | |
| Criar instância de banco de dados | x | x | x | |
| Criar tabela sincronizada | x | x | ||
| Criar catálogo de banco de dados do Unity Catalog | x | |||
| Modificar funções do Postgres | x | |||
| Excluir instância de banco de dados | x | |||
| Modificar permissões | x | |||
| Pausar instância de banco de dados | x | |||
| Retomar instância do banco de dados | x |
Note
- Todos os usuários do espaço de trabalho herdam a permissão CAN CREATE .
- Ao executar operações que interagem com o Unity Catalog, você precisa ter permissões no objeto Unity Catalog:
- Criar catálogo de banco de dados do Unity Catalog: É necessário CREATE CATALOG no metastore do Unity Catalog.
- Criar tabela sincronizada: requer permissões do Unity Catalog para ler a tabela de origem, gravar no esquema de destino e gravar no esquema de armazenamento de pipeline.
ACLs de oleodutos declarativos Lakeflow
| Ability | SEM PERMISSÕES | PODE VER | PODE CORRER | TEM CAPACIDADE PARA GERIR | É PROPRIETÁRIO |
|---|---|---|---|---|---|
| Exibir detalhes do pipeline e listar pipeline | x | x | x | x | |
| Exibir a interface do usuário do Spark e os logs de driver | x | x | x | x | |
| Iniciar e interromper uma atualização de pipeline | x | x | x | ||
| Pare clusters de pipeline diretamente | x | x | x | ||
| Editar configurações de pipeline | x | x | |||
| Excluir o pipeline | x | x | |||
| Purgar execuções e experimentos | x | x | |||
| Modificar permissões | x | x |
ACLs de tabelas de funcionalidades
Esta tabela descreve como controlar o acesso a tabelas de recursos em espaços de trabalho que não estão habilitados para o Catálogo Unity. Se seu espaço de trabalho estiver habilitado para o Catálogo Unity, use privilégios do Catálogo Unity em vez disso.
Note
- O controlo de acesso do Feature Store não regula o acesso à tabela Delta subjacente , que é regulada pelo controlo de acesso da tabela .
- Para obter mais informações sobre permissões de tabelas de funcionalidades do espaço de trabalho, consulte Controlar o acesso a tabelas de funcionalidades no Armazém de Funcionalidades do Espaço de Trabalho (legado).
| Ability | PODE VISUALIZAR METADADOS | PODE EDITAR METADADOS | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|
| Ler tabela de funcionalidades | X | X | X |
| Tabela de recursos de pesquisa | X | X | X |
| Publicar tabela de recursos na loja online | X | X | X |
| Gravar características na tabela de características | X | X | |
| Atualizar a descrição da tabela de recursos | X | X | |
| Modificar permissões | X | ||
| Excluir tabela de funcionalidades | X |
ACLs de arquivo
| Ability | SEM PERMISSÕES | PODE VER | PODE CORRER | PODE EDITAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|---|
| Ler ficheiro | x | x | x | x | |
| Comment | x | x | x | x | |
| Anexar e desanexar arquivo | x | x | x | ||
| Executar arquivo interativamente | x | x | x | ||
| Editar ficheiro | x | x | |||
| Modificar permissões | x |
Note
A interface de utilizador do espaço de trabalho refere-se ao acesso apenas de visualização como CAN VIEW, enquanto a API de permissões utiliza CAN READ para representar o mesmo nível de acesso.
ACLs de pasta
| Ability | SEM PERMISSÕES | PODE VER | PODE EDITAR | PODE CORRER | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|---|
| Listar objetos na pasta | x | x | x | x | x |
| Exibir objetos na pasta | x | x | x | x | |
| Clone e exporte itens | x | x | x | ||
| Executar objetos na pasta | x | x | |||
| Criar, importar e excluir itens | x | ||||
| Mover e renomear itens | x | ||||
| Modificar permissões | x |
Note
A interface de utilizador do espaço de trabalho refere-se ao acesso apenas de visualização como CAN VIEW, enquanto a API de permissões utiliza CAN READ para representar o mesmo nível de acesso.
ACLs de espaço Genie
| Ability | SEM PERMISSÕES | PODE VER/PODE EXECUTAR | PODE EDITAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|
| Ver na lista de espaços do Genie | x | x | x | |
| Faça perguntas ao Genie | x | x | x | |
| Fornecer feedback de resposta | x | x | x | |
| Adicionar ou editar instruções do Genie | x | x | ||
| Adicionar ou editar exemplos de perguntas | x | x | ||
| Adicionar ou remover tabelas incluídas | x | x | ||
| Monitorizar um espaço | x | |||
| Modificar permissões | x | |||
| Excluir espaço | x | |||
| Ver conversas de outros utilizadores | x |
ACLs da pasta Git
| Ability | SEM PERMISSÕES | PODE LER | PODE CORRER | PODE EDITAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|---|
| Listar ativos em uma pasta | x | x | x | x | x |
| Exibir ativos em uma pasta | x | x | x | x | |
| Clone e exporte ativos | x | x | x | x | |
| Executar ativos executáveis na pasta | x | x | x | ||
| Editar e renomear ativos em uma pasta | x | x | |||
| Criar uma ramificação em uma pasta | x | ||||
| Alternar ramificações numa pasta | x | ||||
| Puxar ou empurrar uma ramificação para uma pasta | x | ||||
| Criar, importar, excluir e mover ativos | x | ||||
| Modificar permissões | x |
ACLs de trabalho
| Ability | SEM PERMISSÕES | PODE VER | PODE GERENCIAR A EXECUÇÃO | É PROPRIETÁRIO | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|---|
| Exibir detalhes e configurações do trabalho | x | x | x | x | |
| Ver resultados | x | x | x | x | |
| Exibir a interface do usuário do Spark, logs de uma execução de trabalho | x | x | x | ||
| Corra agora | x | x | x | ||
| Cancelar execução | x | x | x | ||
| Editar configurações de trabalho | x | x | |||
| Eliminar tarefa | x | x | |||
| Modificar permissões | x | x |
Note
O criador de um trabalho tem a permissão IS OWNER por padrão.
Um trabalho não pode ter mais do que um proprietário.
Não é possível atribuir a um grupo a permissão 'É Proprietário' como proprietário.
Os trabalhos acionados por meio de Executar Agora assumem as permissões do proprietário do trabalho e não do usuário que emitiu Executar Agora.
O controlo de acesso a tarefas aplica-se às tarefas apresentadas na interface Lakeflow Jobs e às suas execuções. Não se aplica a:
- Fluxos de trabalho de notebook que executam código modular ou código vinculado. Esses usam as permissões do próprio bloco de anotações. Se o bloco de anotações vier do Git, uma nova cópia será criada e seus arquivos herdarão as permissões do usuário que disparou a execução.
-
Trabalhos enviados pela API. Eles usam as permissões padrão do bloco de anotações, a menos que você defina explicitamente o
access_control_listna solicitação de API.
:::
ACLs de experimento MLflow
Os ACLs das experiências MLflow são diferentes para experiências de notebook e experiências de espaço de trabalho. As experiências de blocos de notas não podem ser geridas independentemente do bloco de notas que as criou, pelo que as permissões são semelhantes às permissões de blocos de notas.
Para saber mais sobre os dois tipos de experimentos, consulte Organizar treinamentos com experimentos MLflow.
ACLs para experiências com blocos de notas
Alterar essas permissões também modifica as permissões no bloco de anotações que corresponde ao experimento.
| Ability | SEM PERMISSÕES | PODE LER | PODE CORRER | PODE EDITAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|---|
| Ver bloco de notas | x | x | x | x | |
| Comentar no bloco de notas | x | x | x | x | |
| Anexar/desanexar caderno de notas ao sistema de computação | x | x | x | ||
| Executar comandos no caderno | x | x | x | ||
| Editar caderno | x | x | |||
| Modificar permissões | x |
ACLs para experimentos de espaço de trabalho
| Ability | SEM PERMISSÕES | PODE LER | PODE EDITAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|
| Ver experiência | x | x | x | |
| Execuções de log para o experimento | x | x | ||
| Editar a experiência | x | x | ||
| Excluir o experimento | x | |||
| Modificar permissões | x |
ACLs do modelo MLflow
Esta tabela descreve como controlar o acesso a modelos registrados em espaços de trabalho que não estão habilitados para o Unity Catalog. Se seu espaço de trabalho estiver habilitado para o Catálogo Unity, use privilégios do Catálogo Unity em vez disso.
| Ability | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE GERENCIAR VERSÕES DE PREPARO | PODE GERENCIAR VERSÕES DE PRODUÇÃO | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|---|---|
| Exibir detalhes do modelo, versões, solicitações de transição de estágio, atividades e URIs de download de artefato | x | x | x | x | x | |
| Solicitar uma transição de estágio da versão do modelo | x | x | x | x | x | |
| Adicionar uma versão a um modelo | x | x | x | x | ||
| Atualizar descrição do modelo e da versão | x | x | x | x | ||
| Adicionar ou editar tags | x | x | x | x | ||
| Versão do modelo de transição entre estágios | x | x | x | |||
| Aprovar uma solicitação de transição | x | x | x | |||
| Cancelar uma solicitação de transição | x | |||||
| Renomear modelo | x | |||||
| Modificar permissões | x | |||||
| Excluir versões de modelo e modelo | x |
Notebook Listas de Controlo de Acesso (ACLs)
| Ability | SEM PERMISSÕES | PODE VER | PODE CORRER | PODE EDITAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|---|
| Ver células | x | x | x | x | |
| Comment | x | x | x | x | |
| Executar usando fluxos de trabalho de %run ou bloco de anotações | x | x | x | x | |
| Anexar e desanexar blocos de notas | x | x | x | ||
| Executar comandos | x | x | x | ||
| Editar células | x | x | |||
| Modificar permissões | x |
Note
A interface de utilizador do espaço de trabalho refere-se ao acesso apenas de visualização como CAN VIEW, enquanto a API de permissões utiliza CAN READ para representar o mesmo nível de acesso.
Listas de Controlo de Acesso (Pool ACLs)
| Ability | SEM PERMISSÕES | PODE ANEXAR A | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|
| Anexar cluster ao pool | x | x | |
| Excluir pool | x | ||
| Editar pool | x | ||
| Modificar permissões | x |
ACLs de consulta
| Ability | SEM PERMISSÕES | PODE VER | PODE CORRER | PODE EDITAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|---|
| Ver consultas próprias | x | x | x | x | |
| Ver na lista de consultas | x | x | x | x | |
| Ver texto da consulta | x | x | x | x | |
| Ver resultado da consulta | x | x | x | x | |
| Atualizar o resultado da consulta (ou escolher parâmetros diferentes) | x | x | x | ||
| Incluir a consulta em um painel | x | x | x | ||
| Alterar o SQL warehouse ou a fonte de dados | x | x | x | ||
| Editar texto da consulta | x | x | |||
| Modificar permissões | x | ||||
| Excluir consulta | x |
ACLs de consulta do editor SQL herdadas
| Ability | SEM PERMISSÕES | PODE VER | PODE CORRER | PODE EDITAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|---|
| Ver consultas próprias | x | x | x | x | |
| Ver na lista de consultas | x | x | x | x | |
| Ver texto da consulta | x | x | x | x | |
| Ver resultado da consulta | x | x | x | x | |
| Atualizar o resultado da consulta (ou escolher parâmetros diferentes) | x | x | x | ||
| Incluir a consulta em um painel | x | x | x | ||
| Editar texto da consulta | x | x | |||
| Alterar o SQL warehouse ou a fonte de dados | x | ||||
| Modificar permissões | x | ||||
| Excluir consulta | x |
ACLs secretas
| Ability | READ | WRITE | MANAGE |
|---|---|---|---|
| Leia o âmbito secreto | x | x | x |
| Listar segredos no escopo | x | x | x |
| Escrever no âmbito secreto | x | x | |
| Modificar permissões | x |
Servindo ACLs de endpoint
| Ability | SEM PERMISSÕES | PODE VER | PODE CONSULTAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|
| Obter endpoint | x | x | x | |
| Listar ponto de extremidade | x | x | x | |
| Endpoint de consulta | x | x | ||
| Atualizar configuração do ponto de extremidade | x | |||
| Excluir ponto de extremidade | x | |||
| Modificar permissões | x |
Controles de Acesso do Armazenamento SQL
| Ability | SEM PERMISSÕES | PODE VER | PODE MONITORAR | PODE USAR | É PROPRIETÁRIO | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|---|---|
| Iniciar o armazém | x | x | x | x | ||
| Ver detalhes do armazém | x | x | x | x | x | |
| Ver consultas de armazém | x | x | x | x | ||
| Executar consultas | x | x | x | x | ||
| Ver separador de monitorização de armazém | x | x | x | x | ||
| Pare o armazém | x | x | ||||
| Excluir o depósito | x | x | ||||
| Editar o armazém | x | x | ||||
| Modificar permissões | x | x |
ACLs de ponto de extremidade de pesquisa vetorial
| Ability | SEM PERMISSÕES | PODE CRIAR | PODE USAR | TEM CAPACIDADE PARA GERIR |
|---|---|---|---|---|
| Obter endpoint | x | x | x | |
| Listar pontos finais | x | x | x | |
| Criar ponto de extremidade | x | x | x | |
| Usar ponto de extremidade (criar índice) | x | x | ||
| Excluir ponto de extremidade | x | |||
| Modificar permissões | x |