工作區對象訪問控製

請注意

訪問控製隻在可用保費計劃或以上

與工作區對象訪問控製、個人權限決定用戶的修改能力工作空間對象。本文描述了個人權限和如何配置工作區對象訪問控製。

提示

你可以在一個完全自動化的管理權限設置使用磚起程拓殖的提供者databricks_permissions

之前,您可以使用工作空間對象訪問控製、數據磚工作區管理必須為工作區中啟用它。看到啟用訪問控製

文件夾權限

你可以分配五個權限級別文件夾:沒有權限,可以閱讀,可以運行,可以編輯,可以管理。下表列出了每個許可的能力。

能力

沒有權限

可以閱讀

可以運行

可以編輯

可以管理

在文件夾列表項

x

x

x

x

x

視圖項目文件夾

x

x

x

x

克隆和出口項目

x

x

x

x

創建、導入和刪除條目

x

移動和重命名項目

x

改變權限

x

筆記本和實驗一個文件夾繼承文件夾的所有權限設置。例如,一個用戶可以運行允許在一個文件夾可以運行許可的筆記本,文件夾。

默認的文件夾權限

  • 獨立的工作空間對象的訪問控製,存在以下權限:

    • 所有的用戶都擁有可以管理項目的許可工作空間>共享的圖標共享文件夾中。你可以批準可以管理允許被移到筆記本電腦和文件夾共享的圖標共享文件夾中。

    • 所有的用戶都擁有可以管理允許用戶創建對象。

  • 與工作區對象訪問控製殘疾,存在以下權限:

    • 所有的用戶都擁有可以編輯項目的許可工作空間文件夾中。

  • 工作區對象啟用訪問控製,存在以下權限:

    • 工作空間文件夾

      • 隻有工作空間管理員可以創建新項目工作空間文件夾中。

      • 現有的項目工作空間文件夾,可以管理。例如,如果工作空間文件夾包含了文件夾圖標文檔文件夾圖標臨時文件夾,所有用戶繼續的可以管理允許這些文件夾。

      • 新項目的工作空間文件夾,沒有權限

    • 用戶具有相同的權限為所有項目在一個文件夾,其中包括項目創建或進入文件夾當你設置權限,允許用戶在文件夾中。

    • 用戶的home目錄——用戶可以管理許可。所有其他用戶沒有權限許可。

筆記本電腦的權限

你可以分配五個權限級別筆記本電腦:沒有權限,可以閱讀,可以運行,可以編輯,可以管理。下表列出了每個許可的能力。

能力

沒有權限

可以閱讀

可以運行

可以編輯

可以管理

視圖細胞

x

x

x

x

評論

x

x

x

x

通過%跑或筆記本工作流

x

x

x

x

連接或分離的筆記本

x

x

x

運行命令

x

x

x

編輯單元格

x

x

改變權限

x

文件權限

你可以分配五個權限級別文件:沒有權限,可以閱讀,可以運行,可以編輯,可以管理。下表列出了每個許可的能力。

能力

沒有權限

可以閱讀

可以運行

可以編輯

可以管理

讀文件

x

x

x

x

評論

x

x

x

x

(連接或分離的文件。py, r . sql . scala)

x

x

x

運行文件交互。py, r . sql . scala)

x

x

x

編輯文件

x

x

改變權限

x

回購的權限

你可以分配五個權限級別回購:沒有權限,可以閱讀,可以運行,可以編輯,可以管理。下表列出了每個許可的能力。

能力

沒有權限

可以閱讀

可以運行

可以編輯

可以管理

列表項的回購

x

x

x

x

x

查看項目回購

x

x

x

x

克隆和出口項目

x

x

x

x

在回購運行筆記本

x

x

x

編輯筆記在回購

x

x

創建、導入和刪除條目

x

移動和重命名項目

x

改變權限

x

配置筆記本、文件夾和回購權限

請注意

本節描述如何使用UI管理權限。您還可以使用權限API

  1. 選擇權限從下拉菜單中,筆記本,文件夾,或回購:

    文件夾權限下拉
  2. 授予權限的用戶或組,選擇從添加用戶、組和服務主體下拉,選擇權限,然後單擊添加:

    用戶添加筆記本和文件夾

    改變用戶或組的權限,選擇新的許可的許可下拉:

    改變筆記本,文件夾權限
  3. 在對話框中進行更改後,完成更改保存更改和一個取消按鈕出現。點擊保存更改取消

MLflow實驗權限

你可以分配四個權限級別MLflow實驗:沒有權限,可以閱讀,可以編輯,可以管理。下表列出了每個許可的能力。

能力

沒有權限

可以閱讀

可以編輯

可以管理

查看運行信息、搜索、比較

x

x

x

查看、列表和下載運行工件

x

x

x

創建、刪除和恢複運行

x

x

記錄運行參數、指標、標簽

x

x

日誌運行工件

x

x

編輯實驗標簽

x

x

清洗運行和實驗

x

授予的權限

x

請注意

  • 實驗隻權限執行構件存儲在由MLflow DBFS位置。有關更多信息,請參見MLflow工件權限

  • 創建、刪除和恢複實驗要求可以編輯可以管理訪問的文件夾包含實驗。

  • 可以指定可以運行允許實驗。它是相同的方式執行可以編輯

權限配置MLflow實驗

您可以配置MLflow實驗從實驗頁麵權限,實驗頁麵,或者從工作區。

配置MLflow實驗從實驗頁麵權限

你可以改變權限的一個實驗,你自己的實驗頁麵。點擊三個按鈕圖標行動列和選擇權限

配置MLflow實驗從實驗頁麵權限

所有用戶在您的帳戶屬於的組所有用戶。管理員屬於的組管理員管理權限的所有對象。

請注意

權限設置在這個對話框中適用於筆記本,對應於這個實驗。

  1. 點擊分享

    實驗頁麵權限按鈕
  2. 在對話框中,單擊選擇用戶、組或服務主體…下拉,選擇一個用戶、組或服務主體。

    權限設置對話框
  3. 選擇一個許可的許可下拉。

  4. 點擊添加

  5. 如果你想刪除權限,點擊x為該用戶、組或服務主體。

    刪除權限
  6. 點擊保存取消

從工作空間配置MLflow實驗權限

  1. 打開權限對話框中,選擇權限在實驗的下拉菜單。

    工作區實驗權限下拉
  2. 格蘭特或刪除權限。所有用戶在您的帳戶屬於的組所有用戶。管理員屬於的組管理員,可以管理對所有項目的訪問權限。

    授予權限,選擇從選擇用戶、組或服務主體下拉,選擇權限,然後單擊添加:

    添加MLflow實驗用戶

    改變現有的權限,選擇新的許可的許可下拉:

    改變MLflow實驗權限

    刪除權限,點擊x為該用戶、組或服務主體。

  3. 你在對話框中進行更改後,單擊保存取消

MLflow工件權限

每一個MLflow實驗有一個工件的位置這是用於存儲工件MLflow運行記錄。開始在MLflow 1.11中,構件的存儲在一個MLflow-managed子目錄中磚文件係統(DBFS)默認情況下。MLflow實驗權限適用於工件存儲在這些管理位置,前綴dbfs: /磚/ mlflow-tracking。要下載或日誌一個工件,必須有適當的訪問級別相關MLflow實驗。

請注意

  • 構件存儲在MLflow-managed位置隻能使用MLflow客戶端訪問(版本1.9.1或更高),這是可用的Python,Java,R。其他訪問機製,如dbutilsDBFS API,不支持MLflow-managed位置。

  • 您還可以指定自己的工件位置創建一個MLflow實驗時。實驗不實施訪問控製工件存儲默認MLflow-managed DBFS以外的目錄中。

MLflow模型權限

你可以分配六個權限級別MLflow模型注冊的MLflow模型注冊:沒有權限,可以閱讀,可以編輯,可以管理臨時版本,可以管理生產版本,可以管理。下表列出了每個許可的能力。

請注意

模型版本繼承權限從其母模型;你不能設置權限模型版本。

能力

沒有權限

可以閱讀

可以編輯

可以管理臨時版本

可以管理生產版本

可以管理

創建一個模型

x

x

x

x

x

x

視圖模型細節,版本,請求階段過渡,活動,和工件下載uri

x

x

x

x

x

請求一個模型版本階段過渡

x

x

x

x

x

版本添加到模型中

x

x

x

x

更新模型和版本描述

x

x

x

x

添加或編輯標簽模型或模型的版本

x

x

x

x

階段之間轉換的模型版本

x(之間沒有、存檔和分段)

x

x

批準或拒絕一個請求模型版本階段過渡

x(之間沒有、存檔和分段)

x

x

取消請求(見模型版本階段過渡請注意)

x

修改權限

x

重命名模型

x

刪除模型和模型版本

x

請注意

過渡階段的創建者請求也可以取消請求。

默認MLflow模型權限

  • 獨立的工作空間對象的訪問控製,存在以下權限:

    • 允許所有用戶創建一個新的注冊模型。

    • 所有工作空間管理員有管理權限模型。

  • 與工作區對象訪問控製殘疾,存在以下權限:

    • 所有的用戶都擁有管理權限對所有模型。

  • 工作區對象啟用訪問控製,下麵的默認權限存在:

    • 所有的用戶都擁有管理權限的用戶創建的模型。

    • 非管理員用戶沒有權限模型他們沒有創建。

配置MLflow模型權限

所有用戶在您的帳戶屬於的組所有用戶。工作空間管理員屬於的組管理員管理權限的所有對象。

請注意

本節描述如何使用UI管理權限。您還可以使用權限API

  1. 點擊模型圖標模型在側邊欄。

  2. 點擊一個模型的名字。

  3. 點擊權限

    模型權限按鈕
  4. 在對話框中,單擊選擇用戶、組或服務主體…下拉,選擇一個用戶、組或服務主體。

    改變MLflow模型權限
  5. 選擇一個許可的許可下拉。

  6. 點擊添加

  7. 點擊保存取消

為所有MLflow模型模型注冊表配置權限

工作區管理員可以設置權限級別在所有模型的特定用戶或組模型注冊使用UI。

  1. 點擊模型圖標在側邊欄。

  2. 點擊權限

    注冊表權限下拉模型
  3. 遵循步驟中列出配置MLflow模型權限,從第4步開始。

    當你頁麵導航到一個特定的模型,registry-wide級別的權限設置標記“繼承”。

    繼承模型權限

請注意

用戶使用可以管理在registry-wide級別權限可以改變registry-wide所有其他用戶的權限。

MLflow模型工件的權限

對於每個模型文件MLflow模型版本存儲在一個MLflow-managed位置,前綴dbfs: /磚/ mlflow-registry /

得到文件的確切位置模型版本,你必須有訪問模型。使用REST API端點/ api / 2.0 / mlflow /模型版本/ get-download-uri

獲取URI之後,您可以使用DBFS API下載的文件。

MLflow客戶機(Python,Java,R)提供了幾個方便的方法,用此工作流下載和加載模型,如mlflow。<味道> .load_model ()

請注意

其他訪問機製,如dbutils% fs不支持MLflow-managed文件位置。

圖書館和訪問控製的工作

庫圖標所有用戶都可以查看庫。控製誰能把圖書館集群,明白了集群訪問控製

安排工作——筆記本圖標控製誰可以運行工作和查看工作運行的結果,明白了工作訪問控製

起程拓殖集成

你可以在一個完全自動化的管理權限設置使用磚起程拓殖的提供者databricks_permissions:

資源“databricks_group”“自動”{display_name =“自動化”}資源“databricks_group”“eng”{display_name =“工程”}資源“databricks_notebook”“這”{content_base64 = base64encode(“#歡迎您的Python筆記本”)路徑=“/生產/ ETL /功能”語言=“Python”}資源“databricks_permissions”“notebook_usage”{notebook_path = databricks_notebook.this。路徑access_control {group_name = "用戶" permission_level =“CAN_READ”} access_control {group_name = databricks_group.auto。display_name permission_level = " CAN_RUN "} access_control {group_name = databricks_group.eng。display_name permission_level = " CAN_EDIT "}}

提示

你可以得到一個筆記本列表的路徑(和他們的語言)工作空間使用databricks_notebook_paths