Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Einführung in Azure Databricks Administratorrechte und -zuständigkeiten.
Required Azure Administratorberechtigungen
Die Azure Berechtigungen, die für die Arbeit mit Azure Databricks erforderlich sind, hängen davon ab, ob Sie einen Arbeitsbereich erstellen oder sich bei einem vorhandenen Arbeitsbereich als Administrator anmelden.
Berechtigungen, die für die Erstellung von Arbeitsbereichen erforderlich sind
Um einen Azure Databricks Arbeitsbereich zu erstellen, müssen Sie einer der folgenden Sein:
- Ein Benutzer mit der Rolle des Azure-Mitwirkenden oder des Besitzers auf Abonnementebene.
- Ein Benutzer mit einer benutzerdefinierten Rollendefinition mit der folgenden Berechtigungsliste:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
Hinweis
Die berechtigungen Microsoft.Compute/register/action, Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/register/action sind nicht erforderlich, wenn diese Anbieter bereits im Abonnement registriert sind. Siehe Resource Provider registrieren.
Zum Anmelden als Arbeitsbereichsadministrator erforderliche Berechtigungen
Wenn Ihnen die Arbeitsbereichsadministratorrolle in Azure Databricks noch nicht zugewiesen wurde, können Sie Zugriff als Arbeitsbereichsadministrator erhalten, indem Sie sich mit einer der folgenden Azure-Rollen anmelden.
- Ein Benutzer mit der Rolle Azure-Beitragender oder Besitzer auf Abonnementebene.
- Ein Benutzer mit einer benutzerdefinierten Rollendefinition mit den folgenden Berechtigungen:
Microsoft.Databricks/workspaces/*Microsoft.Databricks/accessConnectors/*
Nach der Anmeldung und dem Erhalt von Arbeitsbereichsadministratorrechten sind diese Azure-Rollen nicht mehr erforderlich. Sie behalten den Administratorzugriff des Arbeitsbereichs bei, auch wenn diese Azure Rollen entfernt werden. Sie benötigen diese Azure Rollen nicht, wenn die Arbeitsbereichsadministratorrolle von einem Arbeitsbereichsadministrator oder Kontoadministrator in Ihrem Azure Databricks Konto zugewiesen wird.
Databricks-Administratortypen
Es gibt zwei Hauptebenen von Administratorrechten auf der Azure Databricks-Plattform:
- Account-Administratoren: Verwalten des Azure Databricks-Kontos, einschließlich aktivieren des Unity-Katalogs, der Benutzerbereitstellung und der Identitätsverwaltung auf Kontoebene.
- Arbeitsbereichsadministratoren: Verwalten von Arbeitsbereichsidentitäten, Zugriffssteuerung, Einstellungen und Features für einzelne Arbeitsbereiche im Konto.
Darüber hinaus können Benutzern diese featurespezifischen Administratorrollen zugewiesen werden, die schmalere Gruppen von Berechtigungen haben:
- Marketplace-Administratoren: Verwalten Sie das Databricks Marketplace-Anbieterprofil ihres Kontos, einschließlich der Erstellung und Verwaltung von Marketplace-Einträgen.
- Metastore-Administratoren: Verwalten von Berechtigungen und Besitz für alle sicherungsfähigen Objekte in einem Unity-Katalog-Metastore, z. B. wer Kataloge erstellen oder eine Tabelle abfragen kann.
- Abrechnungsadministratoren: Anzeigen von Budgets und Verwalten der serverlosen Budgetrichtlinien über das gesamte Konto hinweg.
Was sind Kontoadministratoren?
Kontoadministratoren verfügen über Berechtigungen für das gesamte Azure Databricks Konto. Als Kontoadministrator können Sie Kontoeinstellungen verwalten, die Benutzerbereitstellung einrichten, Metastores für die Unity-Katalog-Aktivierung erstellen und Identitäten in allen Arbeitsbereichen des Kontos verwalten.
Kontoadministratoren können auch die Administrator- und Arbeitsbereichsadministratorrollen des Kontos an jeden anderen Benutzer delegieren.
Einrichten Ihres ersten Kontoadministrators
Hinweis
Die Kontokonsole ist in Azure Government Regionen nicht verfügbar.
Für Sicherheit und Organisationsintegrität setzt Databricks voraus, dass ein globaler Microsoft Entra ID-Administrator die erste Kontoadministratorrolle Ihres Kontos einrichtet. Dadurch wird sichergestellt, dass eine dienstspezifische Administratorrolle mit hohen Berechtigungen nicht ohne die Aufsicht eines höher privilegierten Administrators erstellt wird.
Nach Abschluss dieser Schritte können Sie den globalen Administrator aus dem Azure Databricks Konto entfernen.
Der globale Administrator sollte die folgenden Anweisungen verwenden:
- Melden Sie sich mit Ihren anmeldeinformationen für den globalen Administrator bei Ihrem Azure-Portal an.
- Wechseln Sie zu accounts.azuredatabricks.net und melden Sie sich mit Microsoft Entra ID an. Azure Databricks erstellt automatisch eine Kontoadministratorrolle für Sie.
- Klicken Sie auf "Benutzerverwaltung".
- Suchen Und klicken Sie auf den Benutzernamen des Benutzers, an den Sie die Kontoadministratorrolle delegieren möchten.
- Aktivieren Sie auf der Registerkarte "Rollen " den Kontoadministrator.
Sobald ein anderer Benutzer über die Kontoadministratorrolle verfügt, muss der Microsoft Entra ID globaler Administrator nicht mehr einbezogen werden. Der neue Kontoadministrator kann den globalen Administrator aus dem Azure Databricks-Konto entfernen und anderen Benutzern die Kontoadministratorrolle zuweisen.
Zugreifen auf die Kontokonsole
In der Kontokonsole verwalten Kontoadministratoren ihr Azure Databricks Konto.
Kontoadministratoren können auf die Kontokonsole zugreifen https://accounts.azuredatabricks.net oder indem Sie oben auf der Arbeitsbereichsoberfläche auf die Arbeitsbereichsauswahl klicken und "Konto verwalten" auswählen.
Kontobenutzer, die keine Kontoadministratoren sind, können nur von https://accounts.azuredatabricks.net auf das Konto zugreifen. Bei der Anmeldung wird die Kontokonsole mit einer Liste ihrer Arbeitsbereiche geöffnet.
Hinweis
Wenn Sie sich in mehreren Microsoft Entra ID-Mandanten befinden, wird Sie die Kontokonsolen-URL zur Azure Databricks-Kontokonsole in Ihrem Standardmandanten führen. Um auf die Kontokonsole eines anderen Mandanten zuzugreifen, greifen Sie in einem Arbeitsbereich in Ihrem bevorzugten Mandanten auf die Kontokonsole zu.
Verantwortlichkeiten des Kontoadministrators
Als Kontoadministrator umfassen Ihre Zuständigkeiten Folgendes:
- Aktivieren des Unity-Katalogs
- Verwalten von Identitäten
- Überwachen von Kontonutzungsprotokollen
- Verwalten von Einstellungen auf Kontoebene
- Verwalten von Databricks Previews
Aktivieren des Unity-Katalogs
Hinweis
Wenn Ihr Azure Databricks-Konto nach dem 9. November 2023 erstellt wurde, sind Ihre Arbeitsbereiche möglicherweise standardmäßig mit Unity Catalog aktiviert. Weitere Informationen finden Sie unter Automatische Aktivierung von Unity Catalog.
Ein Kontoadministrator ist erforderlich, um Unity-Katalog in Ihrem Konto zu aktivieren. Der Vorgang umfasst das Erstellen eines Unity-Katalogmetastores, der nur von einem Kontoadministrator ausgeführt werden kann.
Anweisungen zum Aktivieren des Unity-Katalogs finden Sie unter "Erste Schritte mit Unity-Katalog".
Verwalten von Identitäten
Kontoadministratoren sollten ihren Identitätsanbieter bei Bedarf mit Azure Databricks synchronisieren. Siehe Synchronisieren von Benutzern und Gruppen aus Microsoft Entra ID mit SCIM.
Wenn Sie den Unity-Katalog für mindestens einen Arbeitsbereich in Ihrem Konto aktiviert haben, sollten Identitäten (Benutzer, Gruppen und Dienstprinzipale) in der Kontokonsole verwaltet werden. Kontoadministratoren können Berechtigungen erteilen und Diesen Identitäten Arbeitsbereiche zuweisen.
Weitere Informationen finden Sie unter Verwalten von Benutzern und Gruppen.
Überwachen des Kontos mit Systemtabellen
Systemtabellen sind ein Azure Databricks gehosteter analytischer Speicher der Betriebsdaten Ihres Kontos, die im katalog system enthalten sind. Kontoadministratoren können Systemtabellen aktivieren, um Zugriff auf Überwachungsprotokolle, abrechnungsfähige Nutzungsprotokolle, Abstammungsdaten und vieles mehr zu ermöglichen. Siehe "Überwachen der Kontoaktivität mit Systemtabellen".
Verwalten von Kontoeinstellungen
Kontoadministratoren können Aspekte ihres Azure Databricks Kontos über die Kontokonsole über den Abschnitt Settings verwalten. Dies umfasst das Aktivieren neuer Features für das gesamte Konto und das Konfigurieren von IP-Zugriffslisten.
Verwalten von Vorschauen
Verwalten Sie Azure Databricks Vorschauen in Ihrem Arbeitsbereich oder den Arbeitsbereichen einer Organisation. Vorschauen bieten frühzeitigen Zugriff auf Features, bevor sie für die allgemeine Verfügbarkeit (GA) veröffentlicht werden. Siehe Manage Azure Databricks Previews.
Was sind Arbeitsbereichsadministratoren?
Arbeitsbereichsadministratoren verfügen über Administratorrechte innerhalb eines einzelnen Arbeitsbereichs. Sie können Identitäten auf Arbeitsbereichsebene verwalten, die Computeverwendung regeln und rollenbasierte Zugriffssteuerung aktivieren und delegieren (nur Premium-Plan ).
Zugreifen auf die Administratoreinstellungen
Arbeitsbereichsadministratoren sind die einzigen Benutzer, die Zugriff auf die Administratoreinstellungenseite des Arbeitsbereichs haben. Als Arbeitsbereichsadministrator können Sie auf Administratoreinstellungen zugreifen, indem Sie in der oberen Leiste des Azure Databricks Arbeitsbereichs auf Ihren Benutzernamen klicken und Settings auswählen.
Zuständigkeiten des Arbeitsbereichadministrators
Als Arbeitsbereichsadministrator umfassen Ihre Zuständigkeiten Folgendes:
- Verwalten von Identitäten in Ihrem Arbeitsbereich
- Erstellen und Verwalten von Computeressourcen
- Verwalten von Arbeitsbereichsfunktionen und -einstellungen
Verwalten von Identitäten in Ihrem Arbeitsbereich
Wenn Ihr Arbeitsbereich für den Unity-Katalog aktiviert ist, sollten Identitäten auf Kontoebene hinzugefügt werden. Arbeitsbereichsadministratoren können dann Benutzern, Gruppen und Dienstprinzipale ihren Arbeitsbereich zuweisen. Weitere Informationen zum Hinzufügen und Entfernen von Identitäten in einem Arbeitsbereich finden Sie unter Verwalten von Benutzern, Dienstprinzipalen und Gruppen.
Hinweis
Databricks Academy hat einen kostenlosen Kurs zur Identitätsverwaltung. Bevor Sie auf den Kurs zugreifen können, müssen Sie sich zuerst für Databricks Academy registrieren , wenn Sie es noch nicht getan haben.
Erstellen und Verwalten von Computeressourcen
Arbeitsbereichsadministratoren können SQL-Lagerhäuser (eine Computeressource, mit der Sie SQL-Befehle für Datenobjekte in Databricks SQL ausführen) und Cluster für ihre Arbeitsbereichsbenutzer erstellen können. Anweisungen zum Erstellen von SQL-Lagerhäusern finden Sie unter Erstellen eines SQL-Lagerlagers.
Es ist auch der Auftrag des Arbeitsbereichsadministrators, zu steuern, wie Computeressourcen in ihrem Arbeitsbereich verwendet werden. Arbeitsbereichsadministratoren verfügen über die folgenden Tools:
- Beschränken Sie die Clustererstellungsoptionen von Arbeitsbereichsbenutzern mit Clusterrichtlinien.
- Databricks empfiehlt, alle Init-Skripte als clusterbezogene Init-Skripte zu verwalten. Anstatt globale Init-Skripts zu verwenden, verwalten Sie init Scipts mithilfe von Clusterrichtlinien.
- Erfahren Sie, welche Computeressourcen über Unity-Katalogzugriff verfügen.
Hinweis
Databricks Academy verfügt über einen kostenlosen Kurs zur Compute Resources Administration.
Verwalten von Arbeitsbereichsfunktionen und -einstellungen
Arbeitsbereichsadministratoren sind für die Verwaltung des ausgewählten Arbeitsbereichverhaltens und der Einstellungen verantwortlich. Informationen zu anderen verfügbaren Arbeitsbereichseinstellungen finden Sie unter Verwalten von Arbeitsbereichseinstellungen.
Hinweis
Databricks Academy hat einen kostenlosen Kurs zu Databricks Workspace Administration and Security.
Weitere Ressourcen
Databricks Academy verfügt über einen kostenlosen Selbstlernpfad für Plattformadministratoren. Bevor Sie auf den Kurs zugreifen können, müssen Sie sich zuerst für Databricks Academy registrieren , wenn Sie es noch nicht getan haben.
Sie können sich auch registrieren, um an einer Live-Plattformverwaltungsschulung teilzunehmen.
Sie können auch Antworten auf viele Fragen in der Databricks Community erhalten.