Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera wprowadzenie do uprawnień i obowiązków administratora Azure Databricks.
Wymagane uprawnienia administratora Azure
Uprawnienia Azure wymagane do pracy z Azure Databricks zależą od tego, czy tworzysz obszar roboczy, czy logujesz się do istniejącego obszaru roboczego jako administrator.
Uprawnienia wymagane do utworzenia obszaru roboczego
Aby utworzyć obszar roboczy Azure Databricks, musisz być jednym z następujących elementów:
- Użytkownik z rolą Azure Kontrybutor lub Właściciel na poziomie subskrypcji.
- Użytkownik z niestandardową definicją roli, która ma następującą listę uprawnień:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
Uwaga / Notatka
Uprawnienia Microsoft.Compute/register/action, Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/register/action nie są wymagane, jeśli ci dostawcy są już zarejestrowani w subskrypcji. Zobacz Rejestrowanie dostawcy zasobów.
Uprawnienia wymagane do zalogowania się jako administrator obszaru roboczego
Jeśli nie udzielono jeszcze roli administratora obszaru roboczego w Azure Databricks, możesz uzyskać dostęp administratora obszaru roboczego, logując się przy użyciu jednej z następujących ról Azure:
- Użytkownik z rolą współautora Azure lub właściciela na poziomie subskrypcji.
- Użytkownik z niestandardową definicją roli, która ma następujące uprawnienia:
Microsoft.Databricks/workspaces/*Microsoft.Databricks/accessConnectors/*
Po zalogowaniu się i uzyskaniu dostępu administratora obszaru roboczego te role Azure nie są już wymagane. Zachowasz dostęp administratora obszaru roboczego, nawet jeśli te role Azure zostaną usunięte. Te role Azure nie są potrzebne, jeśli rola administratora obszaru roboczego jest przypisana przez administratora obszaru roboczego lub administratora konta na koncie Azure Databricks.
Typy administratorów usługi Databricks
Na platformie Azure Databricks dostępne są dwa główne poziomy uprawnień administratora:
- Administratorzy konta: Zarządzanie kontem Azure Databricks, w tym włączaniem Unity Catalog, aprowizowaniem użytkowników i zarządzaniem tożsamościami na poziomie konta.
- Administratorzy obszaru roboczego: zarządzanie tożsamościami obszarów roboczych, kontrolą dostępu, ustawieniami i funkcjami poszczególnych obszarów roboczych na koncie.
Ponadto użytkownicy mogą mieć przypisane te role administratora specyficzne dla funkcji, które mają węższe zestawy uprawnień:
- Administratorzy witryny Marketplace: zarządzaj profilem dostawcy usługi Databricks Marketplace konta, w tym tworzeniem list w witrynie Marketplace i zarządzaniem nimi.
- Administratorzy metastore: Zarządzają uprawnieniami i własnością wszystkich obiektów zabezpieczalnych w Unity Catalog metastore, takich jak to, kto może tworzyć katalogi lub wykonywać zapytania dotyczące tabeli.
- Administratorzy rozliczeń: wyświetlanie budżetów i zarządzanie zasadami budżetu bezserwerowego w całym koncie.
Co to są administratorzy kont?
Administratorzy konta mają uprawnienia do całego konta Azure Databricks. Jako administrator konta możesz zarządzać ustawieniami konta, konfigurować aprowizację użytkowników, tworzyć metastores na potrzeby włączania Unity Catalog i zarządzać tożsamościami we wszystkich obszarach roboczych na koncie.
Administratorzy kont mogą również delegować role administratora konta i administratora obszaru roboczego do dowolnego innego użytkownika.
Ustanawianie pierwszego administratora konta
Uwaga / Notatka
Konsola konta nie jest dostępna w regionach Azure Government.
W celu zapewnienia bezpieczeństwa i integralności organizacji usługa Databricks wymaga, aby administrator globalny Microsoft Entra ID ustanowił pierwszą rolę administratora konta. Gwarantuje to, że rola administratora specyficzna dla usługi o wysokim poziomie uprawnień nie zostanie utworzona bez nadzoru ze strony administratora z wyższymi uprawnieniami.
Po wykonaniu tych kroków możesz usunąć administratora globalnego z konta Azure Databricks.
Administrator globalny powinien używać następujących instrukcji:
- Zaloguj się do Azure Portal przy użyciu poświadczeń administratora globalnego.
- Przejdź do accounts.azuredatabricks.net i zaloguj się przy użyciu Microsoft Entra ID. Azure Databricks automatycznie tworzy rolę administratora konta.
- Kliknij pozycję Zarządzanie użytkownikami.
- Znajdź i kliknij nazwę użytkownika, do którego chcesz delegować rolę administratora konta.
- Na karcie Role włącz pozycję Administrator konta.
Gdy inny użytkownik ma rolę administratora konta, administrator globalny Microsoft Entra ID nie musi już być zaangażowany. Nowy administrator konta może usunąć administratora globalnego z konta Azure Databricks i przypisać innym użytkownikom rolę administratora konta.
Uzyskiwanie dostępu do konsoli konta
Konsola konta to miejsce, w którym administratorzy kont zarządzają swoim kontem Azure Databricks.
Administratorzy kont mogą uzyskać dostęp do konsoli konta pod https://accounts.azuredatabricks.net adresem lub klikając selektor obszaru roboczego w górnej części interfejsu użytkownika obszaru roboczego i wybierając pozycję Zarządzaj kontem.
Użytkownicy konta, którzy nie są administratorami kont, mogą uzyskiwać dostęp tylko do konta z witryny https://accounts.azuredatabricks.net. Po zalogowaniu konsola konta otwiera się i wyświetla listę obszarów roboczych użytkownika.
Uwaga / Notatka
Jeśli jesteś w wielu dzierżawach Microsoft Entra ID, adres URL konsoli konta przekieruje cię do konsoli konta Azure Databricks w twojej domyślnej dzierżawie. Aby uzyskać dostęp do konsoli konta innej dzierżawcy, uzyskaj dostęp do konsoli konta w przestrzeni roboczej w preferowanej dzierżawie.
Obowiązki administratora konta
Jako administrator konta twoje obowiązki obejmują:
- Aktywacja Unity Catalog
- Zarządzanie tożsamościami
- Monitorowanie dzienników użycia konta
- Zarządzanie ustawieniami na poziomie konta
- Zarządzanie podglądami usługi Databricks
Włącz Katalog Unity
Uwaga / Notatka
Jeśli twoje konto Azure Databricks zostało utworzone po 9 listopada 2023 r., twoje obszary robocze mogą mieć domyślnie włączony katalog Unity. Aby uzyskać więcej informacji, zobacz Automatic enablement of Unity Catalog.
Administrator wymaganego konta jest potrzebny, aby umożliwić Unity Catalog w twoim koncie. Proces obejmuje utworzenie metastore Unity Catalog, które może być dokonane wyłącznie przez administratora konta.
Aby uzyskać instrukcje dotyczące włączania Unity Catalog, zobacz Rozpocznij korzystanie z Unity Catalog.
Zarządzanie tożsamościami
Administratorzy kont powinni zsynchronizować dostawcę tożsamości z Azure Databricks, jeśli ma to zastosowanie. Zobacz Synchronizuj użytkowników i grupy z Microsoft Entra ID przy użyciu protokołu SCIM.
Jeśli włączyłeś Unity Catalog dla co najmniej jednego obszaru roboczego na swoim koncie, tożsamości (użytkownicy, grupy i jednostki usługi) powinny być zarządzane za pomocą konsoli konta. Administratorzy kont mogą udzielać uprawnień i przypisywać obszary robocze do tych tożsamości.
Aby uzyskać więcej informacji, zobacz Zarządzanie użytkownikami i grupami.
Monitorowanie konta przy użyciu tabel systemowych
Tabele systemowe to analityczny magazyn danych operacyjnych Twojego konta, hostowany przez Azure Databricks, znajdujący się w katalogu system. Administratorzy kont mogą włączyć tabele systemowe, aby uzyskiwać dostęp do dzienników audytu, dzienników zużycia podlegającego rozliczeniu, danych dotyczących pochodzenia i nie tylko. Zobacz Monitorowanie aktywności konta za pomocą tabel systemowych.
Zarządzanie ustawieniami konta
Administratorzy konta mogą zarządzać aspektami konta Azure Databricks z poziomu konsoli konta przy użyciu sekcji Settings. Obejmuje to włączanie nowych funkcji na koncie i konfigurowanie list dostępu do adresów IP.
Zarządzanie podglądami
Zarządzaj wersjami zapoznawczymi Azure Databricks w obszarze roboczym lub w obszarach roboczych organizacji. Wersje zapoznawcze zapewniają wczesny dostęp do funkcji przed ich udostępnieniem w celu zapewnienia ogólnej dostępności. Zobacz Zarządzanie podglądami Azure Databricks.
Co to są administratorzy obszaru roboczego?
Administratorzy obszaru roboczego mają uprawnienia administratora w ramach jednego obszaru roboczego. Mogą zarządzać tożsamościami na poziomie obszaru roboczego, regulować użycie zasobów obliczeniowych oraz włączać i delegować kontrolę dostępu opartą na rolach (tylko plan Premium ).
Uzyskiwanie dostępu do ustawień administratora
Administratorzy obszaru roboczego są jedynymi użytkownikami, którzy mają dostęp do strony ustawień administratora obszaru roboczego. Jako administrator obszaru roboczego możesz uzyskać dostęp do ustawień administratora, klikając swoją nazwę użytkownika na górnym pasku obszaru roboczego Azure Databricks i wybierając pozycję Settings.
Obowiązki administratora obszaru roboczego
Jako administrator obszaru roboczego twoje obowiązki obejmują:
- Zarządzanie tożsamościami w obszarze roboczym
- Tworzenie zasobów obliczeniowych i zarządzanie nimi
- Zarządzanie funkcjami i ustawieniami obszaru roboczego
Zarządzanie tożsamościami w obszarze roboczym
Jeśli obszar roboczy jest włączony w Unity Catalog, tożsamości powinny być dodawane na poziomie konta. Administratorzy obszaru roboczego mogą następnie przypisywać użytkowników, grupy i jednostki usługi do swojego obszaru roboczego. Aby uzyskać więcej informacji na temat dodawania i usuwania tożsamości w obszarze roboczym, zobacz Zarządzanie użytkownikami, jednostkami usługi i grupami.
Uwaga / Notatka
Akademia usługi Databricks oferuje bezpłatny kurs dotyczący administrowania tożsamościami. Przed uzyskaniem dostępu do kursu musisz najpierw zarejestrować się w akademii usługi Databricks , jeśli jeszcze tego nie zrobiono.
Tworzenie zasobów obliczeniowych i zarządzanie nimi
Administratorzy obszaru roboczego mogą tworzyć magazyny SQL (zasób obliczeniowy, który umożliwia uruchamianie poleceń SQL na obiektach danych w usłudze Databricks SQL) i klastrach dla użytkowników obszaru roboczego. Aby uzyskać instrukcje dotyczące tworzenia magazynów SQL, zobacz Tworzenie magazynu SQL Warehouse.
Jest to również zadanie administratora obszaru roboczego w celu regulowania sposobu użycia zasobów obliczeniowych w ich obszarze roboczym. Administratorzy obszaru roboczego mają następujące narzędzia:
- Ogranicz opcje tworzenia klastra użytkowników obszaru roboczego przy użyciu zasad klastra.
- Usługa Databricks zaleca zarządzanie wszystkimi skryptami inicjalizacyjnymi jako skryptami inicjalizacyjnymi przypisanymi do klastrów. Zamiast używać globalnych skryptów inicjalizacji, zarządzaj skryptami inicjalizacji za pomocą zasad klastra.
- Dowiedz się, które zasoby obliczeniowe mają dostęp do Unity Catalog.
Uwaga / Notatka
Akademia usługi Databricks oferuje bezpłatny kurs dotyczący administrowania zasobami obliczeniowymi.
Zarządzanie funkcjami i ustawieniami obszarów roboczych
Administratorzy obszaru roboczego są odpowiedzialni za zarządzanie zachowaniem i ustawieniami wybranego obszaru roboczego. Aby uzyskać informacje na temat innych dostępnych ustawień obszaru roboczego, zobacz Zarządzanie ustawieniami obszaru roboczego.
Uwaga / Notatka
Akademia usługi Databricks oferuje bezpłatny kurs dotyczący administrowania obszarami roboczymi i zabezpieczeń usługi Databricks.
Dodatkowe zasoby
Akademia usługi Databricks ma bezpłatną ścieżkę szkoleniową dla administratorów platformy. Przed uzyskaniem dostępu do kursu musisz najpierw zarejestrować się w akademii usługi Databricks , jeśli jeszcze tego nie zrobiono.
Możesz również zarejestrować się, aby wziąć udział w szkoleniu administrowania platformą na żywo.
Możesz również uzyskać odpowiedzi na wiele pytań w społeczności usługi Databricks.