Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página descreve detalhes sobre as permissões disponíveis para os diferentes objetos de workspace.
Note
O controle de acesso requer o plano Premium.
As configurações de controle de acesso são desabilitadas por padrão nos espaços de trabalho que são atualizados do plano Standard para o plano Premium. Depois que uma configuração de controle de acesso estiver habilitada, ela não poderá ser desabilitada. Para obter mais informações, confira Listas de controles de acesso podem ser habilitadas em espaços de trabalho atualizados.
Visão geral das listas de controle de acesso
No Azure Databricks, você pode usar ACLs (listas de controle de acesso) para configurar a permissão para acessar objetos no nível do workspace. Os administradores do workspace têm a permissão CAN MANAGE em todos os objetos em seu workspace, o que lhes dá a capacidade de gerenciar permissões em todos os objetos em seus workspaces. Os usuários obtêm automaticamente a permissão CAN MANAGE para os objetos que criam.
Para obter um exemplo de como mapear personas típicas para permissões no nível do workspace, consulte a Proposta de introdução aos grupos e permissões do Databricks.
Gerenciar listas de controle de acesso com pastas
Você pode gerenciar as permissões de objeto de workspace adicionando objetos a pastas. Os objetos em uma pasta herdam todas as configurações de permissões dessa pasta. Por exemplo, um usuário que tem a permissão CAN RUN em uma pasta tem permissão CAN RUN nos alertas dessa pasta.
Se você conceder a um usuário acesso a um objeto dentro da pasta, ele poderá exibir o nome da pasta pai, mesmo que ele não tenha permissões na pasta pai. Por exemplo, um bloco de anotações nomeado test1.py está em uma pasta chamada Workflows. Se você conceder PODE EXIBIR a um usuário em test1.py e nenhuma permissão em Workflows, o usuário poderá ver que a pasta pai está nomeada como Workflows. O usuário não pode exibir ou acessar outros objetos na pasta Workflows, a menos que tenha recebido permissões para eles.
Para saber mais sobre como organizar objetos em pastas, consulte o navegador workspace.
ACLs de alertas
| Ability | SEM PERMISSÕES | PODE SER EXECUTADO | PODE GERENCIAR |
|---|---|---|---|
| Ver na lista de alertas | x | x | |
| Exibir alerta e resultado | x | x | |
| Disparar a execução de alerta manualmente | x | x | |
| Assinar as notificações | x | x | |
| Editar alerta | x | ||
| Modificar permissões | x | ||
| Excluir alerta | x |
ACLs de computação
Important
Em recursos de computação que usam o modo de acesso herdado Sem isolamento compartilhado, os usuários com permissões CAN ATTACH TO podem exibir as chaves da conta de serviço no arquivo log4j. Tenha cuidado ao conceder essa permissão. Para obter mais detalhes sobre esse modo e como restringi-lo, confira O que não são clusters compartilhados de isolamento?.
| Ability | SEM PERMISSÕES | PODE ANEXAR A | PODE REINICIAR | PODE GERENCIAR |
|---|---|---|---|---|
| Anexar um notebook à computação | x | x | x | |
| Exibir interface do usuário do Spark | x | x | x | |
| Exibir métricas de computação | x | x | x | |
| Encerrar a computação | x | x | ||
| Iniciar e reiniciar a computação | x | x | ||
| Exibir logs de driver | x (veja a observação) | |||
| Editar computação | x | |||
| Anexar biblioteca à computação | x | |||
| Redimensionar a computação | x | |||
| Modificar permissões | x |
Note
Os segredos não são redacionados dos logs de driver Spark e fluxos de um cluster. Para proteger dados confidenciais, por padrão, os logs de driver do Spark só podem ser exibidos por usuários com a permissão "CAN MANAGE" no job, em clusters com modo de acesso dedicado e modo de acesso padrão. Para permitir que usuários com a permissão CAN ATTACH TO ou CAN RESTART visualizem os logs nesses clusters, defina a seguinte propriedade de configuração do Spark na configuração do cluster: spark.databricks.acl.needAdminPermissionToViewLogs false.
Em clusters de modo de acesso compartilhado sem isolamento, os logs de driver do Spark podem ser exibidos por usuários com permissão CAN ATTACH TO, CAN RESTART ou CAN MANAGE. Para limitar quem pode ler os logs apenas aos usuários com a permissão CAN MANAGE, defina spark.databricks.acl.needAdminPermissionToViewLogs como true.
Consulte a configuração do Spark para saber como adicionar propriedades do Spark a uma configuração de cluster.
ACLs do Dashboard
| Ability | SEM PERMISSÕES | PODE EXIBIR/PODE EXECUTAR | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|
| Exibir dashboard, resultados e conjuntos de dados | x | x | x | |
| Interagir com widgets | x | x | x | |
| Atualizar o painel | x | x | x | |
| Editar painel | x | x | ||
| Clonar painel | x | x | x | |
| Publicar o instantâneo do painel | x | x | ||
| Modificar permissões | x | |||
| Excluir painel | x |
ACLs do painel herdado
| Ability | SEM PERMISSÕES | PODE EXIBIR | PODE SER EXECUTADO | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Ver na lista de painéis | x | x | x | x | |
| Exibir painéis e resultados | x | x | x | x | |
| Atualizar os resultados da consulta no painel (ou escolher parâmetros diferentes) | x | x | x | ||
| Editar painel | x | x | |||
| Modificar permissões | x | ||||
| Excluir painel | x |
Editar um painel de controle herdado requer a configuração de compartilhamento Executar como visualizador. Consulte Atualizar comportamento e contexto de execução.
ACLs de instância de banco de dados
| Ability | SEM PERMISSÕES | PODE CRIAR | PODE USAR | PODE GERENCIAR |
|---|---|---|---|---|
| Obter instância de banco de dados | x | x | x | |
| Listar instâncias de banco de dados | x | x | x | |
| Criar instância de banco de dados | x | x | x | |
| Criar tabela sincronizada | x | x | ||
| Criar catálogo de banco de dados do Unity Catalog | x | |||
| Modificar funções do Postgres | x | |||
| Excluir instância de banco de dados | x | |||
| Modificar permissões | x | |||
| Pausar a instância do banco de dados | x | |||
| Retomar a instância do banco de dados | x |
Note
- Todos os usuários do workspace herdam automaticamente a permissão CAN CREATE. Essa permissão não pode ser atribuída ou removida.
- Ao executar operações que interagem com o Catálogo do Unity, você precisa ter permissões no objeto catálogo do Unity:
- Criar catálogo de banco de dados do Catálogo do Unity: requer CREATE CATALOG no metastore do Catálogo do Unity.
- Criar tabela sincronizada: requer permissões do Catálogo do Unity para ler a tabela de origem, gravar no esquema de destino e gravar no esquema de armazenamento de pipeline.
ACLs de Pipelines Declarativos do Lakeflow Spark
| Ability | SEM PERMISSÕES | PODE EXIBIR | PODE SER EXECUTADO | PODE GERENCIAR | É PROPRIETÁRIO |
|---|---|---|---|---|---|
| Exibir detalhes do pipeline e listar pipeline | x | x | x | x | |
| Exibir a interface do usuário do Spark e os logs do driver. | x | x | x | x | |
| Iniciar e parar uma atualização de pipeline. | x | x | x | ||
| Parar clusters de pipeline diretamente. | x | x | x | ||
| Editar configurações do pipeline. | x | x | |||
| Excluir o pipeline. | x | x | |||
| Limpar execuções e experimentos | x | x | |||
| Modificar permissões | x | x |
ACLs de tabelas de recursos
Esta tabela descreve como controlar o acesso a tabelas de recursos em workspaces que não estão habilitados para o Catálogo do Unity. Se o workspace estiver habilitado para o Catálogo do Unity, use Privilégios do Catálogo do Unity.
Note
- O controle de acesso da Repositório de Recursos não rege o acesso à tabela Delta subjacente, que é governada pelo controle de acesso à tabela.
- Para obter mais informações sobre permissões de tabelas de recursos de workspace, consulte Controle de acesso a tabelas de recursos no Workspace Feature Store (herdado).
| Ability | PODE VISUALIZAR METADADOS | PODE EDITAR METADADOS | PODE GERENCIAR |
|---|---|---|---|
| Ler tabela de recursos | X | X | X |
| Pesquisar tabela de recursos | X | X | X |
| Publicar tabela de recursos no armazenamento online | X | X | X |
| Gravar recursos na tabela de recursos | X | X | |
| Atualizar a descrição da tabela de recursos | X | X | |
| Modificar permissões | X | ||
| Excluir tabelas de recursos | X |
ACLs de arquivo
| Ability | SEM PERMISSÕES | PODE EXIBIR | PODE SER EXECUTADO | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Ler arquivo | x | x | x | x | |
| Comment | x | x | x | x | |
| Anexar e desanexar arquivo | x | x | x | ||
| Executar o arquivo interativamente | x | x | x | ||
| Editar arquivo | x | x | |||
| Modificar permissões | x |
Note
A interface de usuário do ambiente de trabalho se refere ao acesso somente para visualização como CAN VIEW, enquanto a API de Permissões usa CAN READ para representar o mesmo nível de acesso.
ACLs de pasta
| Ability | SEM PERMISSÕES | PODE EXIBIR | PODE EDITAR | PODE SER EXECUTADO | PODE GERENCIAR |
|---|---|---|---|---|---|
| Listar os objetos na pasta | x | x | x | x | x |
| Exibir os objetos na pasta | x | x | x | x | |
| Clonar e exportar itens | x | x | x | ||
| Executar objetos na pasta | x | x | |||
| Criar, importar e excluir itens | x | ||||
| Mover e renomear itens | x | ||||
| Modificar permissões | x |
Note
A interface de usuário do ambiente de trabalho se refere ao acesso somente para visualização como CAN VIEW, enquanto a API de Permissões usa CAN READ para representar o mesmo nível de acesso.
ACLs de espaço do Genie
| Ability | SEM PERMISSÕES | PODE EXIBIR/PODE EXECUTAR | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|
| Ver na lista de espaços do Genie | x | x | x | |
| Fazer perguntas ao Genie | x | x | x | |
| Fornecer comentários de resposta | x | x | x | |
| Adicionar ou editar instruções do Genie | x | x | ||
| Adicionar ou editar perguntas de exemplo | x | x | ||
| Adicionar ou remover tabelas incluídas | x | x | ||
| Monitorar um espaço | x | |||
| Modificar permissões | x | |||
| Excluir espaço | x | |||
| Exibir conversas de outros usuários | x |
ACLs de pasta do Git
| Ability | SEM PERMISSÕES | PODE LER | PODE SER EXECUTADO | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Listar ativos em uma pasta | x | x | x | x | x |
| Exibir ativos em uma pasta | x | x | x | x | |
| Clonar e exportar ativos | x | x | x | x | |
| Executar ativos executáveis em uma pasta | x | x | x | ||
| Editar e renomear ativos em uma pasta | x | x | |||
| Criar uma ramificação em uma pasta | x | ||||
| Alternar ramificações em uma pasta | x | ||||
| Efetuar pull ou push de um branch em uma pasta | x | ||||
| Criar, importar, excluir e mover ativos | x | ||||
| Modificar permissões | x |
ACLs de trabalho
| Ability | SEM PERMISSÕES | PODE EXIBIR | PODE GERENCIAR A EXECUÇÃO | É PROPRIETÁRIO | PODE GERENCIAR |
|---|---|---|---|---|---|
| Exibir detalhes e configurações do trabalho | x | x | x | x | |
| Exibir os resultados | x | x | x | x | |
| Exibir a interface do usuário do Spark, os logs de uma execução de trabalho | x | x | x | ||
| Executar agora | x | x | x | ||
| Cancelar execução | x | x | x | ||
| Configurações do trabalho | x | x | |||
| Excluir trabalho | x | x | |||
| Modificar permissões | x | x |
Note
O criador de um trabalho tem a permissão É PROPRIETÁRIO por padrão.
Um trabalho não pode ter mais de um proprietário.
Não é possível atribuir a um grupo a permissão Is Owner como proprietário.
Os trabalhos disparados por meio do Run Now pressupõem as permissões do proprietário do trabalho e não do usuário que emitiu Executar Agora.
O controle de acesso de trabalhos se aplica a trabalhos exibidos na interface do usuário de Trabalhos do Lakeflow e suas execuções. Ele não se aplica a:
- Fluxos de trabalho do notebook que executam código modular ou vinculado. Eles usam as permissões do próprio notebook. Se o notebook for proveniente do Git, uma nova cópia será criada e seus arquivos herdarão as permissões do usuário que disparou a execução.
-
Trabalhos enviados pela API. Elas usam as permissões padrão do notebook, a menos que você defina explicitamente a
access_control_listna solicitação de API.
:::
ACLs de experimento do MLflow
As ACLs de experimento do MLflow são diferentes para experimentos de notebook e experimentos de workspace. Os experimentos de notebook não podem ser gerenciados independentemente do notebook que os criou, portanto, as permissões são semelhantes às permissões do notebook.
Para saber mais sobre os dois tipos de experimentos, consulte Organizar execuções de treinamento com experimentos do MLflow.
ACLs para experimentos de notebook
Alterar essas permissões também modifica as permissões no notebook que correspondem ao experimento.
| Ability | SEM PERMISSÕES | PODE LER | PODE SER EXECUTADO | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Exibir notebook | x | x | x | x | |
| Comentar no notebook | x | x | x | x | |
| Conectar/desconectar o notebook ao computador | x | x | x | ||
| Executar comandos no notebook | x | x | x | ||
| Editar notebook | x | x | |||
| Modificar permissões | x |
ACLs para experimentos de workspace
| Ability | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|
| Exibir experimento | x | x | x | |
| Registrar em log execuções do experimento | x | x | ||
| Editar o experimento | x | x | ||
| Excluir o experimento | x | |||
| Modificar permissões | x |
ACLs de modelo do MLflow
Esta tabela descreve como controlar o acesso a modelos registrados em workspaces que não estão habilitados para o Catálogo do Unity. Se o workspace estiver habilitado para o Catálogo do Unity, use Privilégios do Catálogo do Unity.
| Ability | SEM PERMISSÕES | PODE LER | PODE EDITAR | PODE GERENCIAR VERSÕES DE PREPARO | PODE GERENCIAR VERSÕES DE PRODUÇÃO | PODE GERENCIAR |
|---|---|---|---|---|---|---|
| Ver detalhes do modelo, versões, solicitações de transição de fase, atividades e URIs de download do artefato | x | x | x | x | x | |
| Solicitar uma transição de fase da versão do modelo | x | x | x | x | x | |
| Adicionar uma versão a um modelo | x | x | x | x | ||
| Atualizar o modelo e a descrição da versão | x | x | x | x | ||
| Adicionar ou editar marcas | x | x | x | x | ||
| Fazer a transição da versão do modelo entre fases | x | x | x | |||
| Aprovar uma solicitação de transição | x | x | x | |||
| Cancelar uma solicitação de transição | x | |||||
| Renomear modelo | x | |||||
| Modificar permissões | x | |||||
| Excluir modelo e versões de modelo | x |
ACLs de notebook
| Ability | SEM PERMISSÕES | PODE EXIBIR | PODE SER EXECUTADO | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Exibir células | x | x | x | x | |
| Comment | x | x | x | x | |
| Execute usando %run ou fluxos de trabalho em notebook | x | x | x | x | |
| Anexar e desanexar notebooks | x | x | x | ||
| Executar comandos | x | x | x | ||
| Editar células | x | x | |||
| Modificar permissões | x |
Note
A interface de usuário do ambiente de trabalho se refere ao acesso somente para visualização como CAN VIEW, enquanto a API de Permissões usa CAN READ para representar o mesmo nível de acesso.
ACLs de pool
| Ability | SEM PERMISSÕES | PODE ANEXAR A | PODE GERENCIAR |
|---|---|---|---|
| Anexar um cluster ao pool | x | x | |
| Excluir pool | x | ||
| Editar pool | x | ||
| Modificar permissões | x |
ACLs de consulta
| Ability | SEM PERMISSÕES | PODE EXIBIR | PODE SER EXECUTADO | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Exibir consultas próprias | x | x | x | x | |
| Ver na lista de consultas | x | x | x | x | |
| Exibir texto da consulta | x | x | x | x | |
| Exibir resultados da consulta | x | x | x | x | |
| Atualizar o resultado da consulta (ou escolher parâmetros diferentes) | x | x | x | ||
| Incluir a consulta em um painel | x | x | x | ||
| Alterar SQL warehouse ou fonte de dados | x | x | x | ||
| Editar texto da consulta | x | x | |||
| Modificar permissões | x | ||||
| Excluir consulta | x |
ACLs de consulta do editor SQL herdado
| Ability | SEM PERMISSÕES | PODE EXIBIR | PODE SER EXECUTADO | PODE EDITAR | PODE GERENCIAR |
|---|---|---|---|---|---|
| Exibir consultas próprias | x | x | x | x | |
| Ver na lista de consultas | x | x | x | x | |
| Exibir texto da consulta | x | x | x | x | |
| Exibir resultados da consulta | x | x | x | x | |
| Atualizar o resultado da consulta (ou escolher parâmetros diferentes) | x | x | x | ||
| Incluir a consulta em um painel | x | x | x | ||
| Editar texto da consulta | x | x | |||
| Alterar SQL warehouse ou fonte de dados | x | ||||
| Modificar permissões | x | ||||
| Excluir consulta | x |
ACLs de segredo
| Ability | READ | WRITE | MANAGE |
|---|---|---|---|
| Ler o escopo do segredo | x | x | x |
| Listar segredos no escopo | x | x | x |
| Gravar no escopo do segredo | x | x | |
| Modificar permissões | x |
ACLs de ponto de extremidade do serviço
| Ability | SEM PERMISSÕES | PODE EXIBIR | PODE CONSULTAR | PODE GERENCIAR |
|---|---|---|---|---|
| Obter o ponto de extremidade | x | x | x | |
| Ponto de extremidade de lista | x | x | x | |
| Ponto de extremidade de consulta | x | x | ||
| Atualizar a configuração do ponto de extremidade | x | |||
| Excluir ponto de extremidade | x | |||
| Modificar permissões | x |
ACLs de SQL warehouse
| Ability | SEM PERMISSÕES | PODE EXIBIR | PODE MONITORAR | PODE USAR | É PROPRIETÁRIO | PODE GERENCIAR |
|---|---|---|---|---|---|---|
| Iniciar o warehouse | x | x | x | x | ||
| Exibir detalhes do warehouse | x | x | x | x | x | |
| Exibir consultas do warehouse | x | x | x | x | ||
| Executar consultas | x | x | x | x | ||
| Exibir guia de monitoramento do warehouse | x | x | x | x | ||
| Parar o warehouse | x | x | ||||
| Excluir o warehouse | x | x | ||||
| Editar o warehouse | x | x | ||||
| Modificar permissões | x | x |
ACLs de ponto de extremidade de busca em vetores
| Ability | SEM PERMISSÕES | PODE CRIAR | PODE USAR | PODE GERENCIAR |
|---|---|---|---|---|
| Obter o ponto de extremidade | x | x | x | |
| Listar pontos de extremidade | x | x | x | |
| Criar ponto de extremidade | x | x | x | |
| Usar ponto de extremidade (criar índice) | x | x | ||
| Excluir ponto de extremidade | x | |||
| Modificar permissões | x |