이 문서에서는 다양한 작업 영역 개체에 사용할 수 있는 사용 권한에 대해 자세히 설명합니다.
참고
액세스 제어에는 프리미엄 플랜가 필요합니다.
표준 플랜에서 프리미엄 플랜으로 업그레이드되는 작업 영역에서는 기본적으로 액세스 제어 설정을 사용할 수 없습니다. 액세스 제어 설정을 사용하도록 설정하면 사용하지 않도록 설정할 수 없습니다. 더 많은 정보는 업그레이드된 작업 영역에서 액세스 제어 목록을 사용하도록 설정할 수 있음을 참조하세요.
액세스 제어 목록 개요
Azure Databricks에서 ACL(액세스 제어 목록)을 사용하여 작업 영역 수준 개체에 액세스할 수 있는 권한을 구성할 수 있습니다. 작업 영역 관리자는 작업 영역의 모든 개체에 대해 CAN MANAGE 권한을 가지며, 이를 통해 작업 영역의 모든 개체에 대한 사용 권한을 관리할 수 있습니다. 사용자는 자신이 만든 개체에 대해 자동으로 'CAN MANAGE' 권한을 갖게 됩니다.
일반적인 페르소나를 작업 영역 수준 권한에 매핑하는 방법에 대한 예는 Databricks 그룹 및 권한 시작을 위한 제안을 참조하세요.
폴더를 사용하여 액세스 제어 목록 관리
폴더에 개체를 추가하여 작업 영역 개체 권한을 관리할 수 있습니다. 폴더의 개체는 해당 폴더의 모든 권한 설정을 상속합니다. 예를 들어 폴더에 대한 CAN RUN 권한이 있는 사용자는 해당 폴더의 알림에 대한 CAN RUN 권한이 있습니다.
사용자에게 폴더 내의 개체에 대한 액세스 권한을 부여하는 경우 부모 폴더에 대한 권한이 없더라도 부모 폴더의 이름을 볼 수 있습니다. 예를 들어, test1.py라는 노트북이 Workflows라는 폴더에 있다고 가정해 보겠습니다. 사용자에게 test1.py에 대한 'CAN VIEW' 권한을 부여하고 Workflows에 대한 권한은 부여하지 않으면 사용자가 부모 폴더 이름이 Workflows라는 것을 볼 수 있습니다. 사용자는 폴더에 대한 사용 권한이 부여되지 않은 한 Workflows 폴더의 다른 개체를 보거나 액세스할 수 없습니다.
개체를 폴더로 구성하는 방법에 대한 자세한 내용은 작업 영역 브라우저를 참조하세요.
AI/BI 대시보드 ACL
| 능력 | 권한 없음 | 볼 수 있음/실행할 수 있음 | 편집 가능 | 관리할 수 있음 |
|---|---|---|---|---|
| 대시보드 및 결과 보기 | x | x | x | |
| 위젯과 상호작용하기 | x | x | x | |
| 대시보드 새로 고침 | x | x | x | |
| 대시보드 편집 | x | x | ||
| 대시보드 복제 | x | x | x | |
| 대시보드 스냅샷 게시 | x | x | ||
| 권한 수정 | x | |||
| 대시보드 삭제 | x |
경고 ACL
| 능력 | 권한 없음 | 실행할 수 있음 | 관리할 수 있음 |
|---|---|---|---|
| 경고 목록에서 참조 | x | x | |
| 경고 및 결과 보기 | x | x | |
| 수동으로 알림을 실행합니다. | x | x | |
| 알림 구독 | x | x | |
| 알림 편집 | x | ||
| 권한 수정 | x | ||
| 경고 삭제 | x |
ACL 계산
중요
CAN ATTACH TO 권한이 있는 사용자는 log4j 파일에서 서비스 계정 키를 볼 수 있습니다. 이 권한 수준을 부여할 때는 주의해야 합니다.
| 능력 | 권한 없음 | 부착 가능 | 다시 시작할 수 있음 | 관리할 수 있음 |
|---|---|---|---|---|
| Notebook을 컴퓨트에 연결합니다. | x | x | x | |
| Spark UI 보기 | x | x | x | |
| 컴퓨팅 메트릭 보기기 | x | x | x | |
| 컴퓨팅 종료 | x | x | ||
| 컴퓨팅 시작 및 다시 시작 | x | x | ||
| 드라이버 로그 보기 | x (참조 조항) | |||
| 계산 편집 | x | |||
| 컴퓨터에 라이브러리 연결 | x | |||
| 컴퓨팅 크기 조정 | x | |||
| 권한 수정 | x |
참고
비밀 정보 는 클러스터의 Spark 드라이버 로그 stdout 및 stderr 스트림에서 삭제되지 않습니다. 중요한 데이터를 보호하기 위해 기본적으로 Spark 드라이버 로그는 작업, 전용 액세스 모드 및 표준 액세스 모드 클러스터에 대한 CAN MANAGE 권한이 있는 사용자만 볼 수 있습니다. CAN ATTACH TO 또는 CAN RESTART 권한이 있는 사용자가 이러한 클러스터의 로그를 볼 수 있도록 허용하려면 클러스터 구성에서 다음 Spark 구성 속성을 설정합니다. spark.databricks.acl.needAdminPermissionToViewLogs false.
격리 없음 공유 액세스 모드 클러스터에서 CAN ATTACH TO 또는 CAN MANAGE 권한이 있는 사용자가 Spark 드라이버 로그를 볼 수 있습니다. CAN MANAGE 권한이 있는 사용자만 로그를 읽을 수 있는 사용자를 제한하려면 spark.databricks.acl.needAdminPermissionToViewLogstrue설정합니다.
클러스터 구성에 Spark 속성을 추가하는 방법을 알아보려면 Spark 구성을 참조하세요.
레거시 대시보드 ACL(액세스 제어 목록)
| 능력 | 권한 없음 | 볼 수 있음 | 실행할 수 있음 | 편집 가능 | 관리할 수 있음 |
|---|---|---|---|---|---|
| 대시보드 목록 보기 | x | x | x | x | |
| 대시보드 및 결과 보기 | x | x | x | x | |
| 대시보드에서 쿼리 결과 새로 고침(또는 다른 매개 변수 선택) | x | x | x | ||
| 대시보드 편집 | x | x | |||
| 권한 수정 | x | ||||
| 대시보드 삭제 | x |
레거시 대시보드를 편집하려면 뷰어로 실행 공유 설정이 필요합니다. 새로 고침 동작 및 실행 컨텍스트
데이터베이스 인스턴스 ACL
| 능력 | 권한 없음 | 생성할 수 있음 | 사용 가능 | 관리할 수 있음 |
|---|---|---|---|---|
| 데이터베이스 인스턴스 가져오기 | x | x | x | |
| 데이터베이스 인스턴스 나열 | x | x | x | |
| 데이터베이스 인스턴스 만들기 | x | x | x | |
| 동기화된 테이블 만들기 | x | x | ||
| Unity 카탈로그 내 데이터베이스 목록 만들기 | x | |||
| Postgres 역할 수정 | x | |||
| 데이터베이스 인스턴스 삭제 | x | |||
| 권한 수정 | x | |||
| 데이터베이스 인스턴스 일시 중지 | x | |||
| 데이터베이스 인스턴스 다시 시작 | x |
참고
- 모든 작업 영역 사용자는 CAN CREATE 권한을 상속합니다.
- Unity 카탈로그와 상호 작용하는 작업을 수행할 때 Unity 카탈로그 개체에 대한 권한이 있어야 합니다.
- Unity 카탈로그 데이터베이스 카탈로그 만들기: Unity 카탈로그 메타스토어에 필요합니다 CREATE CATALOG .
- 동기화된 테이블 만들기: 원본 테이블을 읽고, 대상 스키마에 쓰고, 파이프라인 스토리지 스키마에 쓸 수 있는 Unity 카탈로그 권한이 필요합니다.
Lakeflow 선언적 파이프라인 ACL
| 능력 | 권한 없음 | 볼 수 있음 | 실행할 수 있음 | 관리할 수 있음 | 소유자임 |
|---|---|---|---|---|---|
| 파이프라인 세부 정보를 보고 파이프라인 목록을 확인하십시오. | x | x | x | x | |
| Spark UI 및 드라이버 로그 보기 | x | x | x | x | |
| 파이프라인 업데이트 시작 및 중지 | x | x | x | ||
| 파이프라인 클러스터를 직접 중지 | x | x | x | ||
| 파이프라인 설정 편집 | x | x | |||
| 파이프라인 삭제 | x | x | |||
| 실행 및 실험을 제거하기 | x | x | |||
| 권한 수정 | x | x |
기능 테이블 ACL 목록
이 표에서는 Unity 카탈로그에 대해 사용하도록 설정되지 않은 작업 영역의 기능 테이블에 대한 액세스를 제어하는 방법을 설명합니다. 작업 영역이 Unity 카탈로그로 설정되어 있는 경우, 대신 Unity 카탈로그 권한을 사용하세요.
참고
- 기능 저장소의 액세스 제어는 기본 Delta 테이블에 적용되지 않으며, 이는 테이블 액세스 제어에 의해 관리됩니다.
- 작업 영역 기능 테이블 권한에 대한 자세한 내용은 작업 영역 기능 저장소(레거시)기능 테이블에 대한 액세스 제어를 참조하세요.
| 능력 | 메타데이터를 볼 수 있음 | 메타데이터 수정 가능 | 관리할 수 있음 |
|---|---|---|---|
| 기능 테이블 읽기 | X | X | X |
| 검색 기능 테이블 | X | X | X |
| 온라인 스토어에 기능 테이블 게시 | X | X | X |
| 기능 테이블에 특징 작성 | X | X | |
| 기능 테이블에 대한 설명 업데이트 | X | X | |
| 권한 수정 | X | ||
| 기능 테이블 삭제 | X |
::::
파일 접근 제어 목록 (ACL)
| 능력 | 권한 없음 | 볼 수 있음 | 실행할 수 있음 | 편집 가능 | 관리할 수 있음 |
|---|---|---|---|---|---|
| 파일 읽기 | x | x | x | x | |
| 설명 | x | x | x | x | |
| 파일 첨부 및 분리 | x | x | x | ||
| 대화형으로 파일 실행 | x | x | x | ||
| 파일 편집 | x | x | |||
| 권한 수정 | x |
참고
작업 영역 UI는 CAN VIEW로 보기 전용 액세스를 참조하는 반면 권한 API는 CAN READ를 사용하여 동일한 수준의 액세스를 나타냅니다.
폴더 ACLs (접근 제어 목록)
| 능력 | 권한 없음 | 볼 수 있음 | 편집 가능 | 실행할 수 있음 | 관리할 수 있음 |
|---|---|---|---|---|---|
| 폴더의 개체 나열 | x | x | x | x | x |
| 폴더의 개체 보기 | x | x | x | x | |
| 항목 복제 및 내보내기 | x | x | x | ||
| 폴더에서 개체 실행 | x | x | |||
| 항목 만들기, 가져오기 및 삭제 | x | ||||
| 항목 이동 및 이름 바꾸기 | x | ||||
| 권한 수정 | x |
참고
작업 영역 UI는 CAN VIEW로 보기 전용 액세스를 참조하는 반면 권한 API는 CAN READ를 사용하여 동일한 수준의 액세스를 나타냅니다.
지니 스페이스 ACL
| 능력 | 권한 없음 | 볼 수 있음/실행할 수 있음 | 편집 가능 | 관리할 수 있음 |
|---|---|---|---|---|
| 지니 공간 목록에서 보기 | x | x | x | |
| Genie에게 질문합니다. | x | x | x | |
| 응답에 대한 피드백 제공 | x | x | x | |
| Genie 명령 추가 또는 편집 | x | x | ||
| 예제 질문 추가 또는 편집 | x | x | ||
| 포함된 테이블 추가 또는 제거 | x | x | ||
| 공간 모니터링 | x | |||
| 권한 수정 | x | |||
| 공간 삭제 | x | |||
| 다른 사용자의 대화 보기 | x | x |
Git 폴더 액세스 제어 목록 (ACL)
| 능력 | 권한 없음 | 읽을 수 있음 | 실행할 수 있음 | 편집 가능 | 관리할 수 있음 |
|---|---|---|---|---|---|
| 폴더에 자산 나열 | x | x | x | x | x |
| 폴더의 자산 보기 | x | x | x | x | |
| 자산 복제 및 내보내기 | x | x | x | x | |
| 폴더에서 실행 파일 자산 실행 | x | x | x | ||
| 폴더에서 자산 편집 및 이름 바꾸기 | x | x | |||
| 폴더에 브랜치 만들기 | x | ||||
| 폴더 안에서 브랜치 전환 | x | ||||
| 브랜치를 폴더로 드래그하거나 푸시하십시오. | x | ||||
| 자산 만들기, 가져오기, 삭제 및 이동 | x | ||||
| 권한 수정 | x |
작업 ACL
| 능력 | 권한 없음 | 볼 수 있음 | 실행 가능 관리 | 소유자임 | 관리할 수 있음 |
|---|---|---|---|---|---|
| 작업 세부 정보 및 설정 보기 | x | x | x | x | |
| 결과 보기 | x | x | x | x | |
| Spark UI, 작업 실행 로그 보기 | x | x | x | ||
| 지금 실행 | x | x | x | ||
| 실행 취소 | x | x | x | ||
| 작업 설정 편집 | x | x | |||
| 작업 삭제 | x | x | |||
| 권한 수정 | x | x |
참고
작업 작성자는 기본적으로 IS OWNER 권한을 가집니다.
작업에는 둘 이상의 소유자가 있을 수 없습니다.
그룹은 소유자로서 '소유자 권한'을 할당받을 수 없습니다.
지금 실행을 통해 트리거된 작업은 지금 실행을 실행한 사용자가 아니라 작업 소유자의 사용 권한을 가정합니다.
작업 액세스 제어는 Lakeflow 작업 UI 및 해당 실행에 표시되는 작업에 적용됩니다. 다음은 적용되지 않습니다.
모듈식 또는 연결된 코드를 실행하는 Notebook 워크플로입니다. 전자 필기장 자체의 사용 권한을 사용합니다. Notebook이 Git에서 가져온 경우 새 복사본이 만들어지고 해당 파일은 실행을 트리거한 사용자의 권한을 상속합니다.
API에서 제출한 작업입니다. API 요청에서
access_control_list을(를) 명시적으로 설정하지 않는 한, Notebook의 기본 권한을 사용합니다.
MLflow 실험 액세스 제어 목록
MLflow 실험 ACL은 Notebook 실험 및 작업 영역 실험과 다릅니다. Notebook 실험을 만든 Notebook과 독립적으로 관리할 수 없으므로 사용 권한은 Notebook 사용 권한과 유사합니다.
두 가지 유형의 실험에 대한 자세한 내용은 MLflow 실험사용하여 학습 실행 구성을 참조하세요.
:::
노트북 실험을 위한 ACL
이러한 사용 권한을 변경하면 실험에 해당하는 Notebook에 대한 사용 권한도 수정됩니다.
| 능력 | 권한 없음 | 읽을 수 있음 | 실행할 수 있음 | 편집 가능 | 관리할 수 있음 |
|---|---|---|---|---|---|
| 노트북 보기 | x | x | x | x | |
| 노트북에 대한 댓글 | x | x | x | x | |
| 노트북을 컴퓨트에 연결/분리 | x | x | x | ||
| Notebook에서 명령 실행 | x | x | x | ||
| 노트 편집 | x | x | |||
| 권한 수정 | x |
작업 영역 실험에 대한 ACL
| 능력 | 권한 없음 | 읽을 수 있음 | 편집 가능 | 관리할 수 있음 |
|---|---|---|---|---|
| 실험 보기 | x | x | x | |
| 실험에 대한 로그 실행 | x | x | ||
| 실험 편집 | x | x | ||
| 실험 삭제 | x | |||
| 권한 수정 | x |
MLflow 모델 접근 제어 목록들
이 표에서는 Unity 카탈로그에 대해 사용하도록 설정되지 않은 작업 영역에서 등록된 모델에 대한 액세스를 제어하는 방법을 설명합니다. 작업 영역이 Unity 카탈로그로 설정되어 있는 경우, 대신 Unity 카탈로그 권한을 사용하세요.
| 능력 | 권한 없음 | 읽을 수 있음 | 편집 가능 | 스테이징 버전을 관리할 수 있음 | 생산 버전을 관리할 수 있음 | 관리할 수 있음 |
|---|---|---|---|---|---|---|
| 모델 세부 정보, 버전, 스테이지 전환 요청, 활동 및 아티팩트 다운로드 URI 보기 | x | x | x | x | x | |
| 모델 버전 단계 전환 요청 | x | x | x | x | x | |
| 모델에 버전 추가 | x | x | x | x | ||
| 모델 및 버전 설명 업데이트 | x | x | x | x | ||
| 태그 추가 또는 편집 | x | x | x | x | ||
| 단계 간 전환 모델 버전 | x | x | x | |||
| 전환 요청 승인 | x | x | x | |||
| 전환 요청 취소 | x | |||||
| 모델 이름 바꾸기 | x | |||||
| 권한 수정 | x | |||||
| 모델 및 모델 버전 삭제 | x |
노트북 액세스 제어 목록들
| 능력 | 권한 없음 | 볼 수 있음 | 실행할 수 있음 | 편집 가능 | 관리할 수 있음 |
|---|---|---|---|---|---|
| 셀 보기 | x | x | x | x | |
| 설명 | x | x | x | x | |
| %run 또는 Notebook 워크플로를 사용하여 실행 | x | x | x | x | |
| Notebook 연결 및 분리 | x | x | x | ||
| 실행 명령 | x | x | x | ||
| 셀 편집 | x | x | |||
| 권한 수정 | x |
참고
작업 영역 UI는 CAN VIEW로 보기 전용 액세스를 참조하는 반면 권한 API는 CAN READ를 사용하여 동일한 수준의 액세스를 나타냅니다.
풀 접근 제어 목록 (ACL)
| 능력 | 권한 없음 | 부착 가능 | 관리할 수 있음 |
|---|---|---|---|
| 풀에 클러스터 연결 | x | x | |
| 풀 삭제 | x | ||
| 풀 편집 | x | ||
| 권한 수정 | x |
ACL 쿼리
| 능력 | 권한 없음 | 볼 수 있음 | 실행할 수 있음 | 편집 가능 | 관리할 수 있음 |
|---|---|---|---|---|---|
| 자체 쿼리 보기 | x | x | x | x | |
| 쿼리 목록에서 참조 | x | x | x | x | |
| 쿼리 텍스트 보기 | x | x | x | x | |
| 쿼리 결과 보기 | x | x | x | x | |
| 쿼리 결과 새로 고침(또는 다른 매개 변수 선택) | x | x | x | ||
| 대시보드에 쿼리 포함 | x | x | x | ||
| 쿼리 텍스트 편집 | x | x | |||
| SQL 웨어하우스 또는 데이터 원본 변경 | x | ||||
| 권한 수정 | x | ||||
| 쿼리 삭제 | x |
비밀 접근 제어 목록 (ACL)
| 능력 | 읽기 | 쓰기 | 관리하다 |
|---|---|---|---|
| 비밀 범위 읽기 | x | x | x |
| 범위 내의 시크릿 나열 | x | x | x |
| 비밀 범위에 데이터를 기록하기 | x | x | |
| 권한 수정 | x |
엔드포인트 ACL 제공
| 능력 | 권한 없음 | 볼 수 있음 | 쿼리 가능 | 관리할 수 있음 |
|---|---|---|---|---|
| 엔드포인트 가져오기 | x | x | x | |
| 엔드포인트를 나열하다 | x | x | x | |
| 쿼리 엔드포인트 | x | x | ||
| 엔드포인트 구성 업데이트 | x | |||
| 엔드포인트 삭제 | x | |||
| 권한 수정 | x |
SQL 웨어하우스 액세스 제어 목록들
| 능력 | 권한 없음 | 볼 수 있음 | 모니터할 수 있음 | 사용 가능 | 소유자임 | 관리할 수 있음 |
|---|---|---|---|---|---|---|
| 웨어하우스 시작 | x | x | x | x | ||
| 웨어하우스 세부 정보 보기 | x | x | x | x | x | |
| 창고 쿼리 보기 | x | x | x | x | ||
| 쿼리 실행 | x | x | x | x | ||
| 창고 모니터링 탭 보기 | x | x | x | x | ||
| 창고 정지 | x | x | ||||
| 웨어하우스 삭제 | x | x | ||||
| 웨어하우스 편집 | x | x | ||||
| 권한 수정 | x | x |
벡터 검색 엔드포인트 ACL들
| 능력 | 권한 없음 | 생성할 수 있음 | 사용 가능 | 관리할 수 있음 |
|---|---|---|---|---|
| 엔드포인트 가져오기 | x | x | x | |
| 엔드포인트 목록 표시 | x | x | x | |
| 엔드포인트 만들기 | x | x | x | |
| 엔드포인트 사용(인덱스 만들기) | x | x | ||
| 엔드포인트 삭제 | x | |||
| 권한 수정 | x |