工作區物件存取控制Workspace object access control

注意

存取控制僅適用于 Azure Databricks Premium 方案Access control is available only in the Azure Databricks Premium Plan.

依預設,除非系統管理員啟用工作區存取控制,否則所有使用者都可以建立和修改 工作區 物件(包括資料夾、筆記本、實驗和模型)。By default, all users can create and modify workspace objects—including folders, notebooks, experiments, and models—unless an administrator enables workspace access control. 使用工作區物件存取控制時,個別的許可權會決定使用者的能力。With workspace object access control, individual permissions determine a user’s abilities. 本文說明個別的許可權,以及如何設定工作區物件存取控制。This article describes the individual permissions and how to configure workspace object access control.

在您可以使用工作區物件存取控制之前,Azure Databricks 管理員必須為工作區啟用該許可權。Before you can use workspace object access access control, an Azure Databricks admin must enable it for the workspace. 請參閱 啟用工作區物件存取控制See Enable workspace object access control.

資料夾許可權 Folder permissions

您可以指派五個許可權等級給 資料夾無許可權讀取執行編輯管理You can assign five permission levels to folders: No Permissions, Read, Run, Edit, and Manage. 資料表會列出每個許可權的能力。The table lists the abilities for each permission.

能力Ability 沒有許可權No Permissions 讀取Read 執行Run 編輯Edit 管理Manage
列出資料夾中的專案List items in folder xx xx xx xx xx
查看資料夾中的專案View items in folder xx xx xx xx
複製和匯出專案Clone and export items xx xx xx xx
建立、匯入和刪除專案Create, import, and delete items xx
移動和重新命名專案Move and rename items xx
變更權限Change permissions xx

資料夾中的筆記本和實驗會繼承該資料夾的擁有權限設定。Notebooks and experiments in a folder inherit all permissions settings of that folder. 例如,在資料夾上具有 [ 執行 ] 許可權的使用者,對該資料夾中的筆記本具有 [ 執行 ] 許可權。For example, a user that has Run permission on a folder has Run permission on the notebooks in that folder.

預設資料夾許可權Default folder permissions

  • 獨立于工作區物件存取控制,有下列許可權:Independent of workspace object access control, the following permissions exist:
    • 所有使用者都具有 工作區 >  共用圖示 共用 資料夾中專案的 [管理] 許可權。All users have Manage permission for items in the Workspace > Shared Icon Shared folder. 您可以將筆記本和資料夾的 [ 管理 ] 許可權移至  共用圖示 共用 資料夾,以授與這些許可權。You can grant Manage permission to notebooks and folders by moving them to the Shared Icon Shared folder.
    • 所有使用者都具有使用者所建立物件的 [ 管理 ] 許可權。All users have Manage permission for objects the user creates.
  • 在停用工作區物件存取控制的情況下,會有下列許可權:With workspace object access control disabled, the following permissions exist:
    • 所有使用者都具有 [工作區] 資料夾中專案的 [編輯] 許可權。All users have Edit permission for items in the Workspace folder.
  • 啟用工作區物件存取控制的情況下,會有下列許可權:With workspace object access control enabled, the following permissions exist:
    • 工作區 資料夾Workspace folder
      • 只有系統管理員可以在 工作區 資料夾中建立新專案。Only administrators can create new items in the Workspace folder.
      • 工作區 資料夾中的現有專案-管理Existing items in the Workspace folder - Manage. 例如,如果包含  資料夾圖示  資料夾圖示 Temp 資料夾的工作區資料夾,則 所有使用者都會繼續擁有這些資料夾的 [管理] 許可權。For example, if the Workspace folder contained the Folder Icon Documents and Folder Icon Temp folders, all users continue to have the Manage permission for these folders.
      • 工作區 資料夾中的新專案-沒有許可權New items in the Workspace folder - No Permissions.
    • 使用者對資料夾中的所有專案都有相同的許可權,包括 設定許可權之後,在資料夾中建立或移動的專案,以及使用者對資料夾的許可權。A user has the same permission for all items in a folder, including items created or moved into the folder after you set the permissions, as the permission the user has on the folder.
    • 使用者主目錄-使用者具有 管理 許可權。User home directory - The user has Manage permission. 所有其他使用者都沒有 許可權All other users have No Permissions permission.

筆記本許可權Notebook permissions

您可以指派五個許可權等級給 筆記本無許可權讀取執行編輯管理You can assign five permission levels to notebooks: No Permissions, Read, Run, Edit, and Manage. 資料表會列出每個許可權的能力。The table lists the abilities for each permission.

能力Ability 沒有許可權No Permissions 讀取Read 執行Run 編輯Edit 管理Manage
視圖儲存格View cells xx xx xx xx
註解Comment xx xx xx xx
透過% run 或筆記本工作流程執行Run via %run or notebook workflows xx xx xx xx
附加和卸離筆記本Attach and detach notebooks xx xx xx
執行命令Run commands xx xx xx
編輯資料格Edit cells xx xx
變更權限Change permissions xx

設定筆記本和資料夾的許可權Configure notebook and folder permissions

注意

本節說明如何使用 UI 來管理許可權。This section describes how to manage permissions using the UI. 您也可以使用 許可權 APIYou can also use the Permissions API.

  1. 開啟 [許可權] 對話方塊:Open the permissions dialog:

    • 筆記本-按一下Notebook - click 許可權圖示 在 [筆記本] 內容列中。in the notebook context bar.
    • 資料夾:在資料夾的下拉式功能表中選取 許可權Folder - select Permissions in the folder’s drop-down menu:

    資料夾許可權下拉式清單Folder permissions Drop Down

  2. 若要授與許可權給使用者或群組,請從 [ 新增使用者和群組 ] 下拉式清單中選取許可權,然後按一下 [ 新增]:To grant permissions to a user or group, select from the Add Users and Groups drop-down, select the permission, and click Add:

    新增筆記本和資料夾使用者Add notebook and folder users

    若要變更使用者或群組的許可權,請從 [許可權] 下拉式清單中選取新的許可權:To change the permissions of a user or group, select the new permission from the permission drop-down:

    變更筆記本和資料夾的許可權Change notebook and folder permissions

  3. 按一下 [ 儲存變更 ] 以儲存變更,或按一下 [ 取消 ] 來捨棄變更。Click Save Changes to save your changes or click Cancel to discard your changes.

MLflow 實驗許可權MLflow Experiment permissions

您可以指派四個許可權層級給 MLflow 實驗無許可權讀取編輯管理You can assign four permission levels to MLflow Experiments: No Permissions, Read, Edit, and Manage. 資料表會列出每個許可權的能力。The table lists the abilities for each permission.

能力Ability 沒有許可權No Permissions 讀取Read 編輯Edit 管理Manage
查看執行資訊、搜尋、比較執行View run info, search, compare runs xx xx xx
查看、列出和下載執行成品View, list, and download run artifacts xx xx xx
建立、刪除和還原執行Create, delete, and restore runs xx xx
記錄執行參數、計量、標記Log run params, metrics, tags xx xx
記錄執行構件Log run artifacts xx xx
編輯實驗標記Edit experiment tags xx xx
清除執行和實驗Purge runs and experiments xx
授與權限Grant permissions xx

注意

  • 只有儲存在 MLflow 所管理之 DBFS 位置中的成品才會強制執行實驗許可權。Experiment permissions are only enforced on artifacts stored in DBFS locations managed by MLflow. 如需詳細資訊,請參閱 MLflow 構件許可權For more information, see MLflow Artifact permissions.
  • 建立、刪除和還原實驗需要 編輯管理 包含實驗之資料夾的存取權。Create, delete, and restore experiment requires Edit or Manage access to the folder containing the experiment.
  • 可以 指定實驗的 執行 許可權。You can specify the Run permission for experiments. 它的強制執行方式與 編輯 方式相同。It is enforced the same way as Edit.

設定 MLflow 實驗許可權Configure MLflow experiment permissions

  1. 開啟 [許可權] 對話方塊。Open the permissions dialog. 按一下Click 許可權圖示 在 [筆記本] 內容列中。in the notebook context bar.

    筆記本許可權下拉式清單Notebook permissions Drop Down

  2. 授與許可權。Grant permissions. 您帳戶中的所有使用者都屬於群組 所有使用者All users in your account belong to the group all users. 系統管理員屬於具有所有專案之 管理 許可權的群組 管理員Administrators belong to the group admins, which has Manage permissions on all items.

    若要授與許可權給使用者或群組,請從 [ 新增使用者和群組 ] 下拉式清單中選取許可權,然後按一下 [ 新增]:To grant permissions to a user or group, select from the Add Users and Groups drop-down, select the permission, and click Add:

    新增 MLFlow 實驗使用者Add MLFlow experiment users

    若要變更使用者或群組的許可權,請從 [許可權] 下拉式清單中選取新的許可權:To change the permissions of a user or group, select the new permission from the permission drop-down:

    變更 MLFlow 實驗許可權Change MLFlow experiment permissions

  3. 按一下 [ 儲存變更 ] 以儲存變更,或按一下 [ 取消 ] 來捨棄變更。Click Save Changes to save your changes or click Cancel to discard your changes.

MLflow 構件許可權MLflow Artifact permissions

每個 MLflow 實驗 都有一個成品 位置 ,可用來儲存記錄至 MLflow 執行的成品。Each MLflow Experiment has an Artifact Location that is used to store artifacts logged to MLflow runs. 從 MLflow 1.11 開始,成品會儲存在 Databricks 檔案系統的 MLflow 管理子目錄中,預設 (DBFS) Starting in MLflow 1.11, artifacts are stored in an MLflow-managed subdirectory of the Databricks File System (DBFS) by default. MLflow 實驗許可權 適用于儲存在這些受管理位置(具有前置詞)的構件 dbfs:/databricks/mlflow-trackingMLflow experiment permissions apply to artifacts stored in these managed locations, which have the prefix dbfs:/databricks/mlflow-tracking. 若要下載或記錄成品,您必須擁有其相關聯 MLflow 實驗的適當存取層級。To download or log an artifact, you must have the appropriate level of access to its associated MLflow experiment.

注意

  • 儲存在 MLflow 管理位置中的成品只能使用 MLflow 用戶端 (版 1.9.1 或更新版本的) (適用于 PythonJAVAR)來存取。針對 MLflow 管理的位置,不支援其他存取機制,例如 dbutilsDBFS APIArtifacts stored in MLflow-managed locations can only be accessed using the MLflow Client (version 1.9.1 or later), which is available for Python, Java, and R. Other access mechanisms, such as dbutils and the DBFS API, are not supported for MLflow-managed locations.
  • 您也可以在建立 MLflow 實驗時,指定自己的構件位置。You can also specify your own artifact location when creating an MLflow experiment. 實驗存取控制不會針對儲存在預設 MLflow 管理之 DBFS 目錄之外的成品強制執行。Experiment access controls are not enforced on artifacts stored outside of the default MLflow-managed DBFS directory.

MLflow 模型許可權MLflow Model permissions

您可以指派六個許可權等級給 MLflowMLflow 模型登錄中註冊的模型: 無許可權讀取編輯管理預備版本管理生產版本,以及 管理You can assign six permission levels to MLflow Models registered in the MLflow Model Registry: No Permissions, Read, Edit, Manage Staging Versions, Manage Production Versions, and Manage. 資料表會列出每個許可權的能力。The table lists the abilities for each permission.

注意

模型版本會繼承其父模型的許可權;您無法設定模型版本的許可權。A model version inherits permissions from its parent model; you cannot set permissions for model versions.

能力Ability 沒有許可權No Permissions 讀取Read 編輯Edit 管理預備版本Manage Staging Versions 管理生產版本Manage Production Versions 管理Manage
建立模型Create a model xx xx xx xx xx xx
視圖模型詳細資料、版本、階段轉換要求、活動和成品下載 UriView model details, versions, stage transition requests, activities, and artifact download URIs xx xx xx xx xx
要求模型版本階段轉換Request a model version stage transition xx xx xx xx xx
將版本新增至模型Add a version to a model xx xx xx xx
更新模型和版本描述Update model and version description xx xx xx xx
階段之間的轉換模型版本Transition model version between stages 介於無、封存和暫存) 之間的 x (x (between None, Archived, and Staging) xx xx
核准或拒絕模型版本階段轉換要求Approve or reject a model version stage transition request 介於無、封存和暫存) 之間的 x (x (between None, Archived, and Staging) xx xx
取消模型版本階段轉換要求 (請參閱 附注) Cancel a model version stage transition request (see Note) xx
修改權限Modify permissions xx
重新命名模型Rename model xx
刪除模型和模型版本Delete model and model versions xx

注意

階段轉換要求的建立者也可以取消要求。The creator of a stage transition request can also cancel the request.

預設 MLflow 模型許可權 Default MLflow Model permissions

  • 獨立于工作區物件存取控制,有下列許可權:Independent of workspace object access control, the following permissions exist:
    • 所有使用者都有權建立新的已註冊模型。All users have permission to create a new registered model.
    • 所有系統管理員都擁有所有模型的管理許可權。All administrators have Manage permission for all models.
  • 在停用工作區物件存取控制的情況下,會有下列許可權:With workspace object access control disabled, the following permissions exist:
    • 所有使用者都具有所有模型的管理許可權。All users have Manage permission for all models.
  • 啟用工作區物件存取控制的情況下,會有下列預設許可權:With workspace object access control enabled, the following default permissions exist:
    • 所有使用者都具有使用者所建立之模型的 [管理] 許可權。All users have Manage permission for models the user creates.
    • 非系統管理員使用者沒有其所建立之模型的許可權。Non-administrator users have No Permissions on models they did not create.

設定 MLflow 模型許可權Configure MLflow Model permissions

您帳戶中的所有使用者都屬於該群組 all usersAll users in your account belong to the group all users. 系統管理員屬於群組 admins ,該群組擁有所有物件的管理許可權。Administrators belong to the group admins, which has Manage permissions on all objects.

注意

本節說明如何使用 UI 來管理許可權。This section describes how to manage permissions using the UI. 您也可以使用 許可權 APIYou can also use the Permissions API.

  1. 按一下Click the [模型] 圖示 圖示 (位於提要欄位中)。icon in the sidebar.

  2. 按一下模型名稱。Click a model name.

  3. 按一下  模型名稱右邊的 [向下] 按鈕 ,然後選取 [ 許可權]。Click Button Down at the right of the model name and select Permissions.

    模型許可權下拉式清單Model permissions Drop Down

  4. 按一下 [ 選取使用者或群組 ] 下拉式清單,然後 delect 使用者或群組。Click the Select User or Group drop-down and delect a user or group.

    新增 MLFlow 模型使用者Add MLFlow model users

  5. 選取權限。Select a permission. 若要變更使用者或群組的許可權,請從 [許可權] 下拉式清單中選取新的許可權:To change the permissions of a user or group, select the new permission from the permission drop-down:

    變更 MLFlow 模型許可權Change MLFlow model permissions

  6. 按一下 [新增]Click Add.

  7. 按一下 [ 儲存 ] 以儲存變更,或按一下 [ 取消 ] 以捨棄變更。Click Save to save your changes or Cancel to discard your changes.

MLflow 模型成品許可權MLflow Model Artifact permissions

每個 MLflow 模型版本 的模型檔案都會儲存在 MLflow 管理的位置,其中包含前置詞 dbfs:/databricks/model-registry/The model files for each MLflow model version are stored in an MLflow-managed location, with the prefix dbfs:/databricks/model-registry/.

若要取得模型版本之檔案的確切位置,您必須具有模型的 讀取 存取權。To get the exact location of the files for a model version, you must have Read access to the model. 使用 REST API 端點 /api/2.0/mlflow/model-versions/get-download-uriUse the REST API endpoint /api/2.0/mlflow/model-versions/get-download-uri. 取得 URI 之後,您可以使用 DBFS API 來下載檔案。After obtaining the URI, you can use the DBFS API to download the files.

適用于 PythonJAVAR) 的 MLflow 用戶端 (提供數種便利方法,可包裝此工作流程來下載和載入模型,例如 mlflow.<flavor>.load_model()The MLflow Client (for Python, Java, and R) provides several convenience methods that wrap this workflow to download and load the model, such as mlflow.<flavor>.load_model().

注意

MLflow 管理的檔案位置不支援其他存取機制,例如 dbutils%fsOther access mechanisms, such as dbutils and %fs are not supported for MLflow-managed file locations.

程式庫和作業存取控制Library and jobs access control

程式庫圖示 所有使用者都可以看到程式庫。Library icon All users can view libraries. 若要控制可將程式庫連結至叢集的人員,請參閱叢集 存取控制To control who can attach libraries to clusters, see Cluster access control.

排程工作-筆記本圖示 來控制誰可以執行作業,以及查看作業執行的結果,請參閱 作業存取控制Schedule jobs - notebook icon To control who can run jobs and see the results of job runs, see Jobs access control.