工作空间对象访问控制

请注意

缺省情况下，所有用户都可以创建和修改工作空间对象(包括文件夹、笔记本、实验和模型)，除非管理员启用了工作空间访问控制。使用工作区对象访问控制，个人权限决定用户的能力。本文描述了各个权限以及如何配置工作区对象访问控制。

提示

您可以在完全自动化的设置中使用Databricks Terraform提供商而且databricks_permissions．

在使用工作空间对象访问控制之前，Databricks管理员必须为工作空间启用它。看到启用工作区对象访问控制．

文件夹权限

可以为。分配5个权限级别文件夹：没有权限，可以阅读，可以运行，可以编辑,可以管理．该表列出了每个权限的能力。

能力	没有权限	可以阅读	可以运行	可以编辑	可以管理
列出文件夹中的项目	x	x	x	x	x
查看文件夹中的项目		x	x	x	x
克隆和导出项目		x	x	x	x
创建、导入和删除项目					x
移动和重命名项目					x
改变权限					x

文件夹中的笔记本和实验将继承该文件夹的所有权限设置。例如，用户拥有可以运行文件夹的权限为可以运行那个文件夹里笔记本的权限。

默认文件夹权限

独立于工作空间对象访问控制，存在以下权限:
- 所有用户都有可以管理中的项的权限工作空间>共享文件夹中。你可以同意可以管理允许笔记本和文件夹移动到共享文件夹中。
- 所有用户都有可以管理对用户创建的对象的权限。
禁用工作区对象访问控制后，存在以下权限:
- 所有用户都有可以编辑中的项的权限工作空间文件夹中。
与已启用工作区对象访问控制时，存在以下权限:
- 工作空间文件夹
  - 中创建新项的权限为管理员工作空间文件夹中。
  - 的现有项目工作空间文件夹,可以管理．例如，如果工作空间文件夹中包含文档而且临时文件夹，所有用户继续拥有可以管理这些文件夹的权限。
  - 新增项目工作空间文件夹,没有权限．
- 一个用户对文件夹中的所有项目具有相同的权限，包括创建或移动到文件夹中的项目在您设置权限之后，作为用户对文件夹的权限。
- 用户主目录-用户已拥有可以管理许可。所有其他用户都有没有权限许可。

笔记本电脑的权限

可以为。分配5个权限级别笔记本电脑：没有权限，可以阅读，可以运行，可以编辑,可以管理．该表列出了每个权限的能力。

能力	可以阅读	可以运行	可以编辑	可以管理
视图细胞	x	x	x	x
评论	x	x	x	x
通过% Run或笔记本工作流程运行	x	x	x	x
附加和分离笔记本		x	x	x
运行命令		x	x	x
编辑单元格			x	x
改变权限				x

回购的权限

可以为。分配5个权限级别回购：没有权限，可以阅读，可以运行，可以编辑,可以管理．该表列出了每个权限的能力。

能力	没有权限	可以阅读	可以运行	可以编辑	可以管理
在回购中列出项目	x	x	x	x	x
查看repo中的项目		x	x	x	x
克隆和导出项目		x	x	x	x
在repo中运行笔记本			x	x	x
在回购中编辑笔记本				x	x
创建、导入和删除项目					x
移动和重命名项目					x
改变权限					x

配置笔记本、文件夹和回购权限

请注意

介绍权限管理的操作步骤。你也可以使用权限API 2.0．

选择权限从笔记本、文件夹或回购的下拉菜单中:
要向用户或组授予权限，请从添加用户、组和服务主体下拉菜单，选择权限，单击添加：

如果需要修改用户或组的权限，请在“权限”下拉框中选择新建的权限。
在对话框中进行更改后，完成更改保存更改和一个取消按钮出现。点击保存更改或取消．

实验权限

可以为。分配四个权限级别MLflow实验：没有权限，可以阅读，可以编辑,可以管理．该表列出了每个权限的能力。

能力	可以阅读	可以编辑	可以管理
查看运行信息，搜索，比较运行	x	x	x
查看、列出和下载运行构件	x	x	x
创建、删除和恢复运行		x	x
记录运行参数，指标，标签		x	x
日志运行构件		x	x
编辑实验标签		x	x
清除运行和实验			x
授予的权限			x

请注意

实验权限仅对存储在MLflow管理的DBFS位置中的工件强制执行。有关更多信息，请参见MLflow工件权限．
创建、删除和恢复实验要求可以编辑或可以管理访问包含实验的文件夹。
你可以指定可以运行实验许可。它的执行方式与可以编辑．

配置MLflow实验权限

您可以从实验页面、实验页面或工作空间配置MLflow实验权限。

在实验页面配置MLflow实验权限

控件上拥有的实验的权限可以更改实验页面．点击在行动列并选择权限．

在实验页面配置MLflow实验权限

您帐户中的所有用户都属于该组所有用户．管理员属于该群组管理员，对所有对象具有“管理”权限。

请注意

您在此对话框中设置的权限适用于与此实验对应的笔记本。

点击分享．
在对话框中，单击选择用户、组或服务主体…下拉菜单，选择用户、组或服务主体。
在“权限”下拉框中选择权限。
点击添加．
当需要移除权限时，单击对于该用户、组或服务主体。
点击保存或取消．

从工作空间配置MLflow实验权限

要打开权限对话框，请选择权限在实验的下拉菜单。
授予或删除权限。您帐户中的所有用户都属于该组所有用户．管理员属于该群组管理员，其中有可以管理所有项目的权限。
要授予权限，请从选择“用户”、“组”或“服务主体”下拉菜单，选择权限，单击添加：

如果需要修改已有的权限，在“权限”下拉框中选择新的权限。

单击，删除权限对于该用户、组或服务主体。
在对话框中进行更改后，单击保存或取消．

MLflow工件权限

每一个MLflow实验有一个工件的位置用于存储记录到MLflow运行的工件。从MLflow 1.11开始，工件存储在MLflow管理的子目录中数据库文件系统(DBFS)默认情况下。MLflow实验权限应用于存储在这些具有前缀的托管位置中的工件dbfs: /砖/ mlflow-tracking．要下载或记录工件，您必须对其关联的MLflow实验具有适当级别的访问权限。

请注意

存储在MLflow管理位置中的工件只能使用MLflow Client(版本1.9.1或稍后版本)，可用于Python，Java,R．其他访问机制，例如dbutils和DBFS API 2.0， mlflow管理的位置不支持。
您还可以在创建MLflow实验时指定您自己的工件位置。实验访问控制不会对存储在默认mlflow管理的DBFS目录之外的工件强制执行。

模型权限

可以为。分配六个权限级别MLflow模型在MLflow模型注册表：没有权限，可以阅读，可以编辑，能否管理暂存版本，能够管理生产版本,可以管理．该表列出了每个权限的能力。

请注意

模型版本从它的父模型继承权限;您不能为模型版本设置权限。

能力	没有权限	可以阅读	可以编辑	能否管理暂存版本	能够管理生产版本	可以管理
创建模型	x	x	x	x	x	x
查看模型细节、版本、阶段转换请求、活动和工件下载uri		x	x	x	x	x
申请模型版本阶段转换		x	x	x	x	x
向模型中添加版本			x	x	x	x
更新型号和版本描述			x	x	x	x
为模型或模型版本添加或编辑标记			x	x	x	x
在阶段之间转换模型版本				x(介于None、Archived和Staging之间)	x	x
批准或拒绝模型版本阶段转换请求				x(介于None、Archived和Staging之间)	x	x
取消模型版本阶段转换请求(请参阅请注意）						x
修改权限						x
重命名模型						x
删除型号和型号版本						x