Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены общие сведения о привилегиях и обязанностях администратора Azure Databricks.
Required Azure разрешения администратора
Разрешения Azure, необходимые для работы с Azure Databricks, зависят от того, создаете ли вы рабочую область или войдите в существующую рабочую область в качестве администратора.
Разрешения, необходимые для создания рабочей области
Чтобы создать рабочую область Azure Databricks, необходимо выполнить одно из следующих действий.
- Пользователь с ролью Azure Contributor или Owner на уровне подписки.
- Пользователь с пользовательским определением роли, имеющий следующий список разрешений:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
Замечание
Разрешения Майкрософт.Compute/register/action, Майкрософт.ManagedIdentity/register/action, Майкрософт.Storage/register/action, Майкрософт.Network/register/action не требуются, если эти поставщики уже зарегистрированы в подписке. См. раздел "Регистрация поставщика ресурсов".
Разрешения, необходимые для входа в качестве администратора рабочей области
Если вы еще не получили роль администратора рабочей области в Azure Databricks, вы можете получить доступ администратора рабочей области, выполнив вход с помощью одной из следующих ролей Azure:
- Пользователь с ролью Azure или Owner на уровне подписки.
- Пользователь с пользовательским определением роли, имеющий следующие разрешения:
Microsoft.Databricks/workspaces/*Microsoft.Databricks/accessConnectors/*
После входа в систему и получения прав администратора рабочей области роли Azure больше не требуются. Вы сохраняете доступ администратора рабочей области, даже если эти Azure роли удаляются. Эти Azure роли не требуются, если роль администратора рабочей области назначена администратору рабочей области или администратору учетной записи в учетной записи Azure Databricks.
Типы администраторов Databricks
На платформе Azure Databricks доступны два основных уровня привилегий администратора:
- Account admins: управление учетной записью Azure Databricks, включая включение Unity Catalog, предоставление доступа пользователям и управление идентификацией на уровне учетной записи.
- Администраторы рабочих областей: управление идентификацией рабочих областей, контролем доступа, параметрами и функциями отдельных рабочих областей в учетной записи.
Кроме того, пользователям могут быть назначены эти роли администратора для конкретных функций, которые имеют более узкие наборы привилегий:
- Администраторы Marketplace: управление профилем поставщика для учетной записи в Databricks Marketplace, а также создание и управление списками в Marketplace.
- Администраторы хранилища метаданных: управление привилегиями и правами владения для всех защищаемых объектов в хранилище метаданных каталога Unity, например, которые могут создавать каталоги или запрашивать таблицу.
- Администраторы выставления счетов: просматривайте бюджеты и управляйте бюджетными политиками для бессерверных услуг в рамках учетной записи.
Что такое администраторы учетных записей?
Администраторы учетных записей имеют права доступа ко всей учетной записи Azure Databricks. Администратор учетной записи может управлять параметрами учетной записи, настраивать подготовку пользователей, создавать хранилища метаданных для включения каталога Unity и управлять удостоверениями во всех рабочих областях в учетной записи.
Администраторы учетных записей также могут делегировать роли администратора учетной записи и администратора рабочей области любому другому пользователю.
Создание первого администратора учетной записи
Замечание
Консоль учетной записи недоступна в Azure для государственных организаций регионах.
Для обеспечения безопасности и целостности организации Databricks требует, чтобы глобальный администратор Microsoft Entra ID установил первую роль администратора учетной записи. Это гарантирует, что роль администратора с высоким уровнем привилегий для конкретной службы не создается без надзора от администратора с более высоким уровнем привилегий.
Выполнив эти действия, вы можете удалить глобального администратора из учетной записи Azure Databricks.
Глобальный администратор должен использовать следующие инструкции:
- Войдите в портал Azure с помощью учетных данных глобального администратора.
- Перейдите к accounts.azuredatabricks.net и войдите с помощью Microsoft Entra ID. Azure Databricks автоматически создает роль администратора учетной записи.
- Щелкните "Управление пользователями".
- Найдите и щелкните имя пользователя, которому нужно делегировать роль администратора учетной записи.
- На вкладке "Роли" включите администратора учетной записи.
После того как другой пользователь имеет роль администратора учетной записи, Microsoft Entra ID глобальный администратор больше не должен участвовать. Новый администратор учетной записи может удалить глобального администратора из учетной записи Azure Databricks и назначить других пользователей роль администратора учетной записи.
Доступ к консоли учетной записи
Консоль учетной записи — это то, где администраторы учетных записей управляют своей Azure Databricks учетной записью.
Администраторы учетных записей могут получить доступ к консоли учетной записи, перейдя по ссылке на https://accounts.azuredatabricks.net или нажав на селектор рабочей области в верхней части пользовательского интерфейса и выбрав «Управление учетной записью».
Пользователи, которые не являются администраторами учетной записи, могут получить доступ только к https://accounts.azuredatabricks.net. При входе в систему консоль учетной записи открывается с отображением списка рабочих областей.
Замечание
Если вы находитесь в нескольких клиентах Microsoft Entra ID, URL-адрес консоли учетной записи приведет вас к консоли Azure Databricks учетной записи в клиенте по умолчанию. Чтобы получить доступ к консоли учетной записи другого клиента, перейдите к консоли учетной записи из рабочей области в предпочтительном клиенте.
Обязанности администратора учетной записи
В качестве администратора учетной записи ваши обязанности включают:
- Включение каталога Unity
- Управление идентичностью
- Мониторинг журналов использования учетной записи
- Управление параметрами уровня учетной записи
- Управление предварительными версиями Databricks
Включение каталога Unity
Замечание
Если ваша учетная запись Azure Databricks была создана после 9 ноября 2023 г., рабочие области могут включать каталог Unity по умолчанию. Дополнительные сведения см. в разделе "Автоматическое включение каталога Unity".
Администратор учетной записи необходим для включения каталога Unity в учетной записи. Процесс включает создание хранилища метаданных каталога Unity, которое может выполняться только администратором учетной записи.
Инструкции по включению каталога Unity см. в статье "Начало работы с каталогом Unity".
Управление идентичностями
Администраторы учетных записей должны синхронизировать поставщика удостоверений с Azure Databricks, если это применимо. См. раздел Sync пользователей и групп из Microsoft Entra ID с помощью SCIM.
Если вы включили каталог Unity как минимум для одной рабочей области в вашей учетной записи, удостоверениями (пользователями, группами и служебными учетными записями) необходимо управлять в консоли учетной записи. Администраторы учетных записей могут предоставлять этим идентификациям разрешения и назначать рабочие области.
Дополнительные сведения см. в разделе "Управление пользователями и группами".
Мониторинг учетной записи с помощью системных таблиц
Системные таблицы — это Azure Databricks размещенное аналитическое хранилище операционных данных учетной записи, найденное в каталоге system. Администраторы учетных записей могут активировать системные таблицы для доступа к журналам аудита, журналам платного использования, данным о происхождении и т. д. См. статью Мониторинг действий учетной записи с помощью системных таблиц.
Управление параметрами учетной записи
Администраторы учетных записей могут управлять аспектами учетной записи Azure Databricks из консоли учетной записи с помощью раздела Settings. Это включает включение новых функций в учетной записи и настройку списков доступа к IP-адресам.
Управление предварительными версиями
Управляйте предварительными версиями Azure Databricks в вашей рабочей области или рабочих областях организации. Предварительные версии предоставляют ранний доступ к функциям, прежде чем они будут выпущены для общедоступной доступности. См. Управление предварительными версиями Azure Databricks.
Что такое администраторы рабочей области?
Администраторы рабочей области имеют права администратора в одной рабочей области. Они могут управлять удостоверениями на уровне рабочей области, регулировать использование вычислительных ресурсов и активировать и делегировать управление доступом на основе ролей (только план "Премиум").
Доступ к параметрам администратора
Администраторы рабочей области — это единственные пользователи, имеющие доступ к странице параметров администратора рабочей области. Администратор рабочей области может получить доступ к параметрам администратора, щелкнув имя пользователя в верхней строке рабочей области Azure Databricks и выбрав Settings.
Обязанности администратора рабочей области
В качестве администратора рабочей области ваши обязанности включают:
- Управление идентификациями в рабочей области
- Создание вычислительных ресурсов и управление ими
- Управление функциями и параметрами рабочей области
Управление удостоверениями в рабочей области
Если рабочая область включена для использования с каталогом Unity, удостоверения следует добавить на уровне учетной записи. Затем администраторы рабочей области могут назначать пользователей, группы и субъектов-служб в их рабочую область. Дополнительные сведения о добавлении и удалении удостоверений в рабочей области см. в разделе "Управление пользователями, сервисными субъектами и группами".
Замечание
Databricks Academy имеет бесплатный курс по администрированию удостоверений. Прежде чем получить доступ к курсу, сначала необходимо зарегистрировать в Databricks Academy , если вы еще не сделали этого.
Создание вычислительных ресурсов и управление ими
Администраторы рабочей области могут создавать хранилища SQL (вычислительный ресурс, который позволяет выполнять команды SQL на объектах данных в Databricks SQL) и кластерах для пользователей рабочей области. Инструкции по созданию хранилищ SQL см. в статье "Создание хранилища SQL".
Это также задание администратора рабочей области для регулирования использования вычислительных ресурсов в рабочей области. Администраторы рабочей области имеют следующие средства:
- Ограничьте параметры создания кластеров для пользователей рабочей области с помощью политик кластера.
- Databricks рекомендует управлять всеми скриптами инициализации как скриптами в пределах кластера. Вместо использования глобальных скриптов инициализации, управляйте скриптами инициализации с помощью политик кластера.
- Узнайте, какие вычислительные ресурсы имеют доступ к каталогу Unity.
Замечание
Databricks Academy имеет бесплатный курс по администрированию вычислительных ресурсов.
Управление функциями и параметрами рабочих областей
Администраторы рабочей области отвечают за управление поведением и параметрами рабочей области. Дополнительные сведения о других доступных параметрах рабочей области см. в разделе "Управление параметрами рабочей области".
Дополнительные ресурсы
Databricks Academy имеет бесплатный самостоятельный путь обучения для администраторов платформы. Прежде чем получить доступ к курсу, сначала необходимо зарегистрировать в Databricks Academy , если вы еще не сделали этого.
Вы также можете зарегистрироваться для участия в обучении администрирования динамической платформы.
Вы также можете получить ответы на многие вопросы в сообществе Databricks.