Toegangsbeheer voor werkruimteobjecten

Notitie

Toegangsbeheer is alleen beschikbaar in Azure Databricks Premium abonnement.

Standaard kunnen alle gebruikers werkruimteobjecten maken en wijzigen, inclusief mappen, notebooks, experimenten en modellen, tenzij een beheerder toegangsbeheer voor werkruimten in staat stelt. Bij toegangsbeheer voor werkruimten bepalen afzonderlijke machtigingen de mogelijkheden van een gebruiker. In dit artikel worden de afzonderlijke machtigingen beschreven, en wordt uitleg gegeven over het configureren van toegangsbeheer voor werkruimteobjecten.

Voordat u toegangsbeheer voor werkruimteobjecten kunt gebruiken, moet Azure Databricks beheerder dit inschakelen voor de werkruimte. Zie Toegangsbeheer voor werkruimteobjecten inschakelen.

Mapmachtigingen

U kunt vijf machtigingsniveaus toewijzen aan mappen:Geen machtigingen, Kanlezen,Kan uitvoeren,Kanbewerken en Kan beheren. De tabel bevat de mogelijkheden voor elke machtiging.

Vermogen Geen machtigingen Kan lezen Kan worden uitgevoerd Kan bewerken Kan beheren
Items in map weergeven x x x x x
Items in map weergeven x x x x
Items klonen en exporteren x x x x
Items maken, importeren en verwijderen x
Items verplaatsen en de naam wijzigen x
Machtigingen wijzigen x

Notebooks en experimenten in een map nemen alle machtigingsinstellingen van die map over. Een gebruiker met de machtiging Can Run voor een map heeft bijvoorbeeld de machtiging Can Run voor de notebooks in die map.

Standaardmapmachtigingen

  • De volgende machtigingen bestaan, onafhankelijk van toegangsbeheer voor werkruimteobjecten:
    • Alle gebruikers hebben de machtiging Can Manage voor items in de werkruimte > Shared IconShared folder. U kunt de machtiging Can Manage verlenen aan notebooks en mappen door ze naar de gedeelde map Gedeeld pictogramte verplaatsen.
    • Alle gebruikers hebben de machtiging Can Manage voor objecten die de gebruiker maakt.
  • Als toegangsbeheer voor werkruimteobjecten is uitgeschakeld, bestaan de volgende machtigingen:
    • Alle gebruikers hebben de machtiging Kan bewerken voor items in de map Werkruimte.
  • Als toegangsbeheer voor werkruimteobjecten is ingeschakeld,bestaan de volgende machtigingen:
    • Werkruimtemap
      • Alleen beheerders kunnen nieuwe items maken in de map Werkruimte.
      • Bestaande items in de map Werkruimte - Kan beheren. Als de map Werkruimte bijvoorbeeld de mappen Mappictogram Documenten en MappictogramTemp bevat, blijven alle gebruikers de machtiging Can Manage voor deze mappen hebben.
      • Nieuwe items in de map Werkruimte - Geen machtigingen.
    • Een gebruiker heeft dezelfde machtiging voor alle items in een map, inclusief items die zijn gemaakt of verplaatst naar de map nadat u de machtigingen hebt ingesteld,als de machtiging die de gebruiker voor de map heeft.
    • Basismap van gebruiker: de gebruiker heeft de machtiging Kan beheren. Alle andere gebruikers hebben de machtiging Geen machtigingen.

Notebook-machtigingen

U kunt vijf machtigingsniveaus toewijzen aan notebooks:Geen machtigingen, Can Read,Can Run,Can Editen Can Manage. De tabel bevat de mogelijkheden voor elke machtiging.

Vermogen Geen machtigingen Kan lezen Kan worden uitgevoerd Kan bewerken Kan beheren
Cellen weergeven x x x x
Opmerking x x x x
Uitvoeren via %run- of notebookwerkstromen x x x x
Notebooks koppelen en loskoppelen x x x
Opdrachten uitvoeren x x x
Cellen bewerken x x
Machtigingen wijzigen x

Machtigingen voor repos

U kunt vijf machtigingsniveaustoewijzen aan repos:Geen machtigingen , Can Read,Can Run,Can Editen Can Manage. De tabel bevat de mogelijkheden voor elke machtiging.

Vermogen Geen machtigingen Kan lezen Kan worden uitgevoerd Kan bewerken Kan beheren
Lijst met items in de repo x x x x x
Items in de repo weergeven x x x x
Items klonen en exporteren x x x x
Notebooks uitvoeren in de repo x x x
Notebooks bewerken in de repo x x
Items maken, importeren en verwijderen x
Items verplaatsen en de naam wijzigen x
Machtigingen wijzigen x

Machtigingen voor notebooks, mappen en repos configureren

Notitie

In deze sectie wordt beschreven hoe u machtigingen beheert met behulp van de gebruikersinterface. U kunt ook de Machtigingen-API 2.0 gebruiken.

  1. Open het dialoogvenster Machtigingen:

    • Notebook: klik op het pictogram Machtigingen in de contextbalk van het notebook.
    • Map of repo: selecteer Machtigingen in de vervolgkeuzelijst van de map:

    Vervolgkeuzemapmachtigingen

  2. Als u machtigingen wilt verlenen aan een gebruiker of groep, selecteert u in de vervolgkeuzepagina Gebruikers, groepen en service-principals toevoegen de machtiging en klikt u op Toevoegen:

    Notebook- en mapgebruikers toevoegen

    Als u de machtigingen van een gebruiker of groep wilt wijzigen, selecteert u de nieuwe machtiging in de vervolgkeuzeop de machtiging:

    Notebook- en mapmachtigingen wijzigen

  3. Nadat u wijzigingen hebt aangebracht in het dialoogvenster, worden Wijzigingen opslaan en de knop Annuleren weergegeven. Klik op Wijzigingen opslaan om uw wijzigingen op te slaan of op Annuleren om uw wijzigingen te negeren.

MLflow-experimentmachtigingen

U kunt vier machtigingsniveaus toewijzen aan MLflow-experimenten:Geen machtigingen,Kan lezen, Kan bewerkenen Kan beheren. De tabel bevat de mogelijkheden voor elke machtiging.

Vermogen Geen machtigingen Kan lezen Kan bewerken Kan beheren
Run-info weergeven, zoeken, runs vergelijken x x x
Run-artefacten weergeven, weergeven en downloaden x x x
Maken, verwijderen en herstellen van runs x x
Logboekparameters, metrische gegevens, tags x x
Logboekartefacten uitvoeren x x
Experimenttags bewerken x x
Runs en experimenten opseen x
Machtigingen verlenen x

Notitie

  • Experimentmachtigingen worden alleen afgedwongen voor artefacten die zijn opgeslagen op DBFS-locaties die worden beheerd door MLflow. Zie MLflow Artifact permissions (Machtigingen voor MLflow-artefacten) voor meer informatie.
  • Voor het maken, verwijderen en herstellen van een experiment is de toegang Kan bewerken of Kan beheren vereist tot de map met het experiment.
  • U kunt de machtiging Can Run voor experimenten opgeven. Dit wordt op dezelfde manier afgedwongen als Can Edit.

MLflow-experimentmachtigingen configureren

U kunt MLflow-experimentmachtigingen configureren vanaf de experimentpagina of vanuit de werkruimte.

MLflow-experimentmachtigingen configureren vanaf de experimentpagina

Alle gebruikers in uw account behoren tot de groep all users . Beheerders behoren tot de groep admins , die machtigingen voor beheren heeft voor alle objecten.

Notitie

Machtigingen die u in dit dialoogvenster in stelt, zijn van toepassing op het notebook dat overeenkomt met dit experiment.

  1. Klik op Machtigingen.

    Knop Machtigingen experimentpagina

  2. Klik in het dialoogvenster op de vervolgkeuzepagina Gebruiker, groep of service-principal selecteren en selecteer een gebruiker, groep of service-principal.

    Dialoogvenster Instellingen machtigingen

  3. Selecteer een machtiging in de vervolgkeuzeop de machtiging.

  4. Klik op Add.

  5. Klik op Opslaan om uw wijzigingen op te slaan of op Annuleren om uw wijzigingen te negeren.

MLflow-experimentmachtigingen configureren vanuit de werkruimte

  1. Als u het dialoogvenster Machtigingen wilt openen, selecteert u Machtigingen in de vervolgkeuzelijst van het experiment.

    Vervolgkeuze voor machtigingen voor werkruimte-experiment

  2. Machtigingen verlenen. Alle gebruikers in uw account behoren tot de groep alle gebruikers. Beheerders behoren tot de groepsbeheerders, die machtigingen voor Can Manage hebben voor alle items.

    Als u machtigingen wilt verlenen aan een gebruiker of groep, selecteert u in de vervolgkeuzepagina Gebruikers, groepen en service-principals toevoegen de machtiging en klikt u op Toevoegen:

    MLFlow-experimentgebruikers toevoegen

    Als u de machtigingen van een gebruiker of groep wilt wijzigen, selecteert u de nieuwe machtiging in de vervolgkeuzekeuze selecteren:

    MlFlow-experimentmachtigingen wijzigen

  3. Nadat u wijzigingen hebt aangebracht in het dialoogvenster, worden Wijzigingen opslaan en de knop Annuleren weergegeven. Klik op Wijzigingen opslaan om uw wijzigingen op te slaan of op Annuleren om uw wijzigingen te verwijderen.

Machtigingen voor MLflow-artefacten

Elk MLflow-experiment heeft een artefactlocatie die wordt gebruikt voor het opslaan van artefacten die zijn geregistreerd bij MLflow-runs. Vanaf MLflow 1.11 worden artefacten opgeslagen in een Door MLflow beheerde subdirectory van het Databricks-bestandssysteem (DBFS) standaard. MLflow-experimentmachtigingen van toepassing op artefacten die zijn opgeslagen in deze beheerde locaties, die het voorvoegsel dbfs:/databricks/mlflow-tracking hebben. Als u een artefact wilt downloaden of in een logboek wilt aanmelden, moet u het juiste toegangsniveau hebben voor het bijbehorende MLflow-experiment.

Notitie

  • Artefacten die zijn opgeslagen in door MLflow beheerde locaties, zijn alleen toegankelijk via de MLflow-client (versie of hoger), die beschikbaar 1.9.1 is 1.9.1Javaen R. Andere toegangsmechanismen, zoals dbutils en de DBFS API 2.0,worden niet ondersteund voor door MLflow beheerde locaties.
  • U kunt ook uw eigen artefactlocatie opgeven bij het maken van een MLflow-experiment. Besturingselementen voor experimenttoegang worden niet afgedwongen voor artefacten die zijn opgeslagen buiten de standaard door MLflow beheerde DBFS-map.

MLflow-modelmachtigingen

U kunt zes machtigingsniveaustoewijzen aan MLflow-modellen die zijn geregistreerd in het MLflow-modelregister:Geen machtigingen ,Kan lezen,Bewerken, Faseringsversies beheren, Productieversies beheren en Beheren. De tabel bevat de mogelijkheden voor elke machtiging.

Notitie

Een modelversie neemt machtigingen over van het bovenliggende model; u kunt geen machtigingen instellen voor modelversies.

Vermogen Geen machtigingen Kan lezen Kan bewerken Kan faseringsversies beheren Kan productieversies beheren Kan beheren
Een model maken x x x x x x
Modeldetails, versies, faseovergangsaanvragen, activiteiten en URI's voor het downloaden van artefacten weergeven x x x x x
Een faseovergang van een modelversie aanvragen x x x x x
Een versie toevoegen aan een model x x x x
Beschrijving van model en versie bijwerken x x x x
Modelversie tussen fasen overstappen x (tussen Geen, Gearchiveerd en Fasering) x x
Een aanvraag voor het overstappen van een modelversiefase goedkeuren of afwijzen x (tussen Geen, Gearchiveerd en Fasering) x x
Een aanvraag voor de overgang van de modelversiefase annuleren (zie Opmerking) x
Machtigingen wijzigen x
Naam van model wijzigen x
Model- en modelversies verwijderen x

Notitie

De maker van een faseovergangsaanvraag kan de aanvraag ook annuleren.

StandaardMLflow-modelmachtigingen

  • De volgende machtigingen bestaan, onafhankelijk van toegangsbeheer voor werkruimteobjecten:
    • Alle gebruikers hebben toestemming om een nieuw geregistreerd model te maken.
    • Alle beheerders hebben de machtiging Beheren voor alle modellen.
  • Als toegangsbeheer voor werkruimteobjecten is uitgeschakeld, bestaan de volgende machtigingen:
    • Alle gebruikers hebben de machtiging Beheren voor alle modellen.
  • Als toegangsbeheer voor werkruimteobjecten is ingeschakeld,bestaan de volgende standaardmachtigingen:
    • Alle gebruikers hebben de machtiging Beheren voor modellen die de gebruiker maakt.
    • Gebruikers die geen beheerder zijn, hebben geen machtigingen voor modellen die ze niet hebben maken.

Machtigingen voor MLflow-model configureren

Alle gebruikers in uw account behoren tot de groep all users . Beheerders behoren tot de groep admins , die machtigingen voor beheren heeft voor alle objecten.

Notitie

In deze sectie wordt beschreven hoe u machtigingen beheert met behulp van de gebruikersinterface. U kunt ook de Machtigingen-API 2.0 gebruiken.

  1. Klik op ModelpictogramModellen in de zijbalk.

  2. Klik op een modelnaam.

  3. Klik op Machtigingen.

    Knop Modelmachtigingen

  4. Klik in het dialoogvenster op de vervolgkeuzepagina Gebruiker, groep of service-principal selecteren en selecteer een gebruiker, groep of service-principal.

    MlFlow-modelmachtigingen wijzigen

  5. Selecteer een machtiging in de vervolgkeuzekeuze selecteren.

  6. Klik op Add.

  7. Klik op Opslaan om uw wijzigingen op te slaan of op Annuleren om uw wijzigingen te verwijderen.

Machtigingen configureren voor alle MLflow-modellen in het modelregister

Werkruimtebeheerders kunnen machtigingsniveaus instellen voor alle modellen voor specifieke gebruikers of groepen in het modelregister met behulp van de gebruikersinterface.

  1. Klik op het pictogram Modellen in de zijbalk.

  2. Klik op Machtigingen.

    Vervolgkeuzelijst Registermodelmachtigingen

  3. Volg de stappen in Machtigingen voor MLflow-model configureren,te beginnen bij stap 4.

    Wanneer u naar een specifieke modelpagina navigeert, worden machtigingen die zijn ingesteld op registerniveau gemarkeerd als 'overgenomen'.

    Machtigingen voor overgenomen modellen

Notitie

Een gebruiker met de machtiging Can Manage op registerniveau kan registerbrede machtigingen voor alle andere gebruikers wijzigen.

Machtigingen voor MLflow-modelartefacten

De modelbestanden voor elke MLflow-modelversie worden opgeslagen op een door MLflow beheerde locatie met het voorvoegsel .

Als u de exacte locatie van de bestanden voor een modelversie wilt weten, moet u leestoegang tot het model hebben. Gebruik het REST API eindpunt .

Nadat u de URI hebt ontvangen, kunt u de DBFS API 2.0 gebruiken om de bestanden te downloaden.

De MLflow-client (voor Python,Javaen R)biedt verschillende handige methoden die deze werkstroom verpakken om het model te downloaden en te laden, zoals .

Notitie

Andere toegangsmechanismen, zoals dbutils en worden niet ondersteund voor door MLflow beheerde bestandslocaties.

Toegangsbeheer voor bibliotheek en taken

Library icon All users can view libraries. Zie Toegangsbeheer voor clusters als u wilt bepalen wie bibliotheken aan clusters kan koppelen.

Taken plannen - notebookpictogram Zie Toegangsbeheer voor taken als u wilt bepalen wie taken kan uitvoeren en de resultaten van taakuit runs wilt bekijken.