工作区对象访问控制

请注意

访问控制只在可用保费计划

与工作区对象访问控制、个人权限决定用户的修改能力工作空间对象。本文描述了个人权限和如何配置工作区对象访问控制。

提示

你可以在一个完全自动化的管理权限设置使用砖起程拓殖的提供者databricks_permissions

之前,您可以使用工作空间对象访问控制、数据砖工作区管理必须为工作区中启用它。看到启用访问控制

文件夹权限

你可以分配五个权限级别文件夹:没有权限,可以阅读,可以运行,可以编辑,可以管理。下表列出了每个许可的能力。

能力

没有权限

可以阅读

可以运行

可以编辑

可以管理

在文件夹列表项

x

x

x

x

x

视图项目文件夹

x

x

x

x

克隆和出口项目

x

x

x

x

创建、导入和删除条目

x

移动和重命名项目

x

改变权限

x

笔记本和实验一个文件夹继承文件夹的所有权限设置。例如,一个用户可以运行允许在一个文件夹可以运行许可的笔记本,文件夹。

默认的文件夹权限

  • 独立的工作空间对象的访问控制,存在以下权限:

    • 所有的用户都拥有可以管理项目的许可工作空间>共享的图标共享文件夹中。你可以批准可以管理允许被移到笔记本电脑和文件夹共享的图标共享文件夹中。

    • 所有的用户都拥有可以管理允许用户创建对象。

  • 与工作区对象访问控制残疾,存在以下权限:

    • 所有的用户都拥有可以编辑项目的许可工作空间文件夹中。

  • 工作区对象启用访问控制,存在以下权限:

    • 工作空间文件夹

      • 只有工作空间管理员可以创建新项目工作空间文件夹中。

      • 现有的项目工作空间文件夹,可以管理。例如,如果工作空间文件夹包含了文件夹图标文档文件夹图标临时文件夹,所有用户继续的可以管理允许这些文件夹。

      • 新项目的工作空间文件夹,没有权限

    • 用户具有相同的权限为所有项目在一个文件夹,其中包括项目创建或进入文件夹当你设置权限,允许用户在文件夹中。

    • 用户的home目录——用户可以管理许可。所有其他用户没有权限许可。

笔记本电脑的权限

你可以分配五个权限级别笔记本电脑:没有权限,可以阅读,可以运行,可以编辑,可以管理。下表列出了每个许可的能力。

能力

没有权限

可以阅读

可以运行

可以编辑

可以管理

视图细胞

x

x

x

x

评论

x

x

x

x

通过%跑或笔记本工作流

x

x

x

x

连接或分离的笔记本

x

x

x

运行命令

x

x

x

编辑单元格

x

x

改变权限

x

文件权限

你可以分配五个权限级别文件:没有权限,可以阅读,可以运行,可以编辑,可以管理。下表列出了每个许可的能力。

能力

没有权限

可以阅读

可以运行

可以编辑

可以管理

读文件

x

x

x

x

评论

x

x

x

x

(连接或分离的文件。py, r . sql . scala)

x

x

x

运行文件交互。py, r . sql . scala)

x

x

x

编辑文件

x

x

改变权限

x

回购的权限

你可以分配五个权限级别回购:没有权限,可以阅读,可以运行,可以编辑,可以管理。下表列出了每个许可的能力。

能力

没有权限

可以阅读

可以运行

可以编辑

可以管理

列表项的回购

x

x

x

x

x

查看项目回购

x

x

x

x

克隆和出口项目

x

x

x

x

在回购运行笔记本

x

x

x

编辑笔记在回购

x

x

创建、导入和删除条目

x

移动和重命名项目

x

改变权限

x

配置笔记本、文件夹和回购权限

请注意

本节描述如何使用UI管理权限。您还可以使用权限API

  1. 选择权限从下拉菜单中,笔记本,文件夹,或回购:

    文件夹权限下拉
  2. 授予权限的用户或组,选择从添加用户、组和服务主体下拉,选择权限,然后单击添加:

    用户添加笔记本和文件夹

    改变用户或组的权限,选择新的许可的许可下拉:

    改变笔记本,文件夹权限
  3. 在对话框中进行更改后,完成更改保存更改和一个取消按钮出现。点击保存更改取消

MLflow实验权限

你可以分配四个权限级别MLflow实验:没有权限,可以阅读,可以编辑,可以管理。下表列出了每个许可的能力。

请注意

你不能直接设置权限MLflow实验是由一个笔记本在砖回购。回购级别的权限设置访问控制实验由笔记本回购。

能力

没有权限

可以阅读

可以编辑

可以管理

查看运行信息、搜索、比较

x

x

x

查看、列表和下载运行工件

x

x

x

创建、删除和恢复运行

x

x

记录运行参数、指标、标签

x

x

日志运行工件

x

x

编辑实验标签

x

x

清洗运行和实验

x

授予的权限

x

请注意

  • 实验只权限执行构件存储在由MLflow DBFS位置。有关更多信息,请参见MLflow工件权限

  • 创建、删除和恢复实验要求可以编辑可以管理访问的文件夹包含实验。

  • 可以指定可以运行允许实验。它是相同的方式执行可以编辑

权限配置MLflow实验

您可以配置MLflow实验从实验页面权限,实验页面,或者从工作区。

配置MLflow实验从实验页面权限

你可以改变权限的一个实验,你自己的实验页面。点击三个按钮图标行动列和选择权限

配置MLflow实验从实验页面权限

所有用户在您的帐户属于的组所有用户。管理员属于的组管理员管理权限的所有对象。

请注意

权限设置在这个对话框中适用于笔记本,对应于这个实验。

  1. 点击分享

    实验页面权限按钮
  2. 在对话框中,单击选择用户、组或服务主体…下拉,选择一个用户、组或服务主体。

    权限设置对话框
  3. 选择一个许可的许可下拉。

  4. 点击添加

  5. 如果你想删除权限,点击x为该用户、组或服务主体。

    删除权限
  6. 点击保存取消

从工作空间配置MLflow实验权限

  1. 打开权限对话框中,选择权限在实验的下拉菜单。

    工作区实验权限下拉
  2. 格兰特或删除权限。所有用户在您的帐户属于的组所有用户。管理员属于的组管理员,可以管理对所有项目的访问权限。

    授予权限,选择从选择用户、组或服务主体下拉,选择权限,然后单击添加:

    添加MLflow实验用户

    改变现有的权限,选择新的许可的许可下拉:

    改变MLflow实验权限

    删除权限,点击x为该用户、组或服务主体。

  3. 你在对话框中进行更改后,单击保存取消

MLflow工件权限

每一个MLflow实验有一个工件的位置这是用于存储工件MLflow运行记录。开始在MLflow 1.11中,构件的存储在一个MLflow-managed子目录中砖文件系统(DBFS)默认情况下。MLflow实验权限适用于工件存储在这些管理位置,前缀dbfs: /砖/ mlflow-tracking。要下载或日志一个工件,必须有适当的访问级别相关MLflow实验。

请注意

  • 构件存储在MLflow-managed位置只能使用MLflow客户端访问(版本1.9.1或更高),这是可用的Python,Java,R。其他访问机制,如dbutilsDBFS API,不支持MLflow-managed位置。

  • 您还可以指定自己的工件位置创建一个MLflow实验时。实验不实施访问控制工件存储默认MLflow-managed DBFS以外的目录中。

MLflow模型权限

你可以分配六个权限级别MLflow模型注册的MLflow模型注册:没有权限,可以阅读,可以编辑,可以管理临时版本,可以管理生产版本,可以管理。下表列出了每个许可的能力。

请注意

模型版本继承权限从其母模型;你不能设置权限模型版本。

能力

没有权限

可以阅读

可以编辑

可以管理临时版本

可以管理生产版本

可以管理

创建一个模型

x

x

x

x

x

x

视图模型细节,版本,请求阶段过渡,活动,和工件下载uri

x

x

x

x

x

请求一个模型版本阶段过渡

x

x

x

x

x

版本添加到模型中

x

x

x

x

更新模型和版本描述

x

x

x

x

添加或编辑标签模型或模型的版本

x

x

x

x

阶段之间转换的模型版本

x(之间没有、存档和分段)

x

x

批准或拒绝一个请求模型版本阶段过渡

x(之间没有、存档和分段)

x

x

取消请求(见模型版本阶段过渡请注意)

x

修改权限

x

重命名模型

x

删除模型和模型版本

x

请注意

过渡阶段的创建者请求也可以取消请求。

默认MLflow模型权限

  • 独立的工作空间对象的访问控制,存在以下权限:

    • 允许所有用户创建一个新的注册模型。

    • 所有工作空间管理员有管理权限模型。

  • 与工作区对象访问控制残疾,存在以下权限:

    • 所有的用户都拥有管理权限对所有模型。

  • 工作区对象启用访问控制,下面的默认权限存在:

    • 所有的用户都拥有管理权限的用户创建的模型。

    • 非管理员用户没有权限模型他们没有创建。

配置MLflow模型权限

所有用户在您的帐户属于的组所有用户。工作空间管理员属于的组管理员管理权限的所有对象。

请注意

本节描述如何使用UI管理权限。您还可以使用权限API

  1. 点击模型图标模型在侧边栏。

  2. 点击一个模型的名字。

  3. 点击权限

    模型权限按钮
  4. 在对话框中,单击选择用户、组或服务主体…下拉,选择一个用户、组或服务主体。

    改变MLflow模型权限
  5. 选择一个许可的许可下拉。

  6. 点击添加

  7. 点击保存取消

为所有MLflow模型模型注册表配置权限

工作区管理员可以设置权限级别在所有模型的特定用户或组模型注册使用UI。

  1. 点击模型图标在侧边栏。

  2. 点击权限

    注册表权限下拉模型
  3. 遵循步骤中列出配置MLflow模型权限,从第4步开始。

    当你页面导航到一个特定的模型,registry-wide级别的权限设置标记“继承”。

    继承模型权限

请注意

用户使用可以管理在registry-wide级别权限可以改变registry-wide所有其他用户的权限。

MLflow模型工件的权限

对于每个模型文件MLflow模型版本存储在一个MLflow-managed位置,前缀dbfs: /砖/ mlflow-registry /

得到文件的确切位置模型版本,你必须有访问模型。使用REST API端点/ api / 2.0 / mlflow /模型版本/ get-download-uri

获取URI之后,您可以使用DBFS API下载的文件。

MLflow客户机(Python,Java,R)提供了几个方便的方法,用此工作流下载和加载模型,如mlflow。<味道> .load_model ()

请注意

其他访问机制,如dbutils% fs不支持MLflow-managed文件位置。

图书馆和访问控制的工作

库图标所有用户都可以查看库。控制谁能把图书馆集群,明白了集群访问控制

安排工作——笔记本图标控制谁可以运行工作和查看工作运行的结果,明白了工作访问控制

起程拓殖集成

你可以在一个完全自动化的管理权限设置使用砖起程拓殖的提供者databricks_permissions:

资源“databricks_group”“自动”{display_name =“自动化”}资源“databricks_group”“eng”{display_name =“工程”}资源“databricks_notebook”“这”{content_base64 = base64encode(“#欢迎您的Python笔记本”)路径=“/生产/ ETL /功能”语言=“Python”}资源“databricks_permissions”“notebook_usage”{notebook_path = databricks_notebook.this。路径access_control {group_name = "用户" permission_level =“CAN_READ”} access_control {group_name = databricks_group.auto。display_name permission_level = " CAN_RUN "} access_control {group_name = databricks_group.eng。display_name permission_level = " CAN_EDIT "}}

提示

你可以得到一个笔记本列表的路径(和他们的语言)工作空间使用databricks_notebook_paths