Freigeben über

Einführung in die Azure Databricks-Verwaltung

  • Artikel

Dieser Artikel enthält eine Einführung in die Berechtigungen und Zuständigkeiten von Azure Databricks-Administratoren.

Erforderliche Azure-Administratorberechtigungen

Um Ihren Azure Databricks-Dienst zu verwalten, benötigen Sie die folgenden Azure-Administratorberechtigungen:

  • Ein Benutzer mit dem Azure-Mitwirkenden oder -Besitzer, Rolle auf Abonnementebene.
  • Ein Benutzer mit einer benutzerdefinierten Rollendefinition mit der folgenden Berechtigungsliste:
    • Microsoft.Databricks/workspaces/*
    • Microsoft.Compute/register/action
    • Microsoft.ManagedIdentity/register/action
    • Microsoft.Storage/register/action
    • Microsoft.Network/register/action

Hinweis

Die Microsoft.Compute/register/actionBerechtigungen , Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/registe/actionr sind nicht erforderlich, wenn diese Anbieter bereits im Abonnement registriert sind. Siehe Registrieren des Ressourcenanbieters.

Typen von Databricks-Administratoren

Auf der Azure Databricks-Plattform gibt es zwei Hauptstufen von Administratorrechten:

  • Kontoadministratoren: Verwalten das Azure Databricks-Konto, einschließlich Aktivierung von Unity Catalog, Benutzerbereitstellung und Identitätsverwaltung auf Kontoebene.

  • Arbeitsbereichsadministratoren: Verwalten Arbeitsbereichsidentitäten, Zugriffssteuerung, Einstellungen und Features für einzelne Arbeitsbereiche im Konto.

Darüber hinaus können Benutzern diese funktionsspezifischen Administratorrollen zugewiesen werden, die einen engeren Kreis von Privilegien haben:

  • Marketplace-Administratoren: Verwalten das Databricks Marketplace-Anbieterprofil ihres Kontos, einschließlich der Erstellung und Verwaltung von Marketplace-Angeboten.

  • Metastore-Administratoren: Verwalten die Privilegien und Eigentumsrechte für alle sicherheitsrelevanten Objekte innerhalb eines Unity Catalog Metaspeichers, z. B. wer Kataloge erstellen oder eine Tabelle abfragen darf.

  • Abrechnungsadministratoren: Anzeigen von Budgets und Verwalten der Budgetrichtlinien über ein Konto hinweg.

Was sind Kontoadministratoren?

Kontoadministratoren verfügen über Berechtigungen für das gesamte Azure Databricks-Konto. Als Kontoadministrator können Sie Kontoeinstellungen verwalten, die Benutzerbereitstellung einrichten, Metastores für die Unity Catalog-Aktivierung erstellen und Identitäten für alle Arbeitsbereiche im Konto verwalten.

Kontoadministratoren können außerdem die Kontoadministrator- und Arbeitsbereichsadministratorrollen an jeden anderen Benutzer delegieren.

Einrichten des ersten Kontoadministrators

Hinweis

Die Kontokonsole ist in Azure Government-Regionen nicht verfügbar.

Um die Kontokonsole zu aktivieren und Ihren ersten Kontoadministrator einzurichten, müssen Sie eine Person mit der Rolle „Globaler Administrator“ für Microsoft Entra ID hinzuziehen. Aus Sicherheitsgründen verfügen nur Benutzer mit der Rolle „Globaler Microsoft Entra ID-Administrator“ über die Berechtigungen zum Zuweisen der ersten Kontoadministratorrolle. Nach Abschluss dieser Schritte können Sie den globalen Administrator aus dem Azure Databricks-Konto entfernen.

Der globale Administrator sollte die folgenden Schritte ausführen:

  1. Melden Sie sich im Azure-Portal mit Ihren Anmeldeinformationen für den globalen Administrator an.
  2. Wechseln Sie zu accounts.azuredatabricks.net, und melden Sie sich mit Microsoft Entra ID an. Azure Databricks erstellt automatisch eine Kontoadministratorrolle für Sie.
  3. Klicken Sie auf Benutzerverwaltung.
  4. Suchen Sie den Benutzernamen des Benutzers, an den Sie die Kontoadministratorrolle delegieren möchten, und klicken Sie darauf.
  5. Aktivieren Sie auf der Registerkarte Rollen den Kontoadministrator.

Sobald ein anderer Benutzer über die Kontoadministratorrolle verfügt, muss der globale Microsoft Entra ID-Administrator nicht mehr einbezogen werden. Der neue Kontoadministrator kann den globalen Administrator aus dem Azure Databricks-Konto entfernen und anderen Benutzern die Kontoadministratorrolle zuweisen.

Zugreifen auf die Kontokonsole

Die Kontokonsole ist der Ort, an dem Kontoadministratoren ihr Azure Databricks-Konto verwalten.

Standardkontokonsolenansicht

Kontoadministratoren können auf die Kontokonsole unter https://accounts.azuredatabricks.net zugreifen oder indem sie oben auf der Benutzeroberfläche auf die Arbeitsbereichsauswahl klicken und Konto verwalten auswählen.

Kontobenutzer, die keine Kontoadministratoren sind, können nur über https://accounts.azuredatabricks.net auf das Konto zugreifen. Nach der Anmeldung wird die Kontokonsole mit einer Liste ihrer Arbeitsbereiche geöffnet.

Hinweis

Wenn Sie sich in mehreren Microsoft Entra ID-Mandanten befinden, leitet Sie die Kontokonsolen-URL zu der Azure Databricks-Kontokonsole in Ihrem Standardmandanten. Um auf die Kontokonsole eines anderen Mandanten zuzugreifen, greifen Sie aus einem Arbeitsbereich in Ihrem bevorzugten Mandanten heraus auf die Kontokonsole zu.

Verantwortlichkeiten des Kontoadministrators

Als Kontoadministrator haben Sie folgende Aufgaben:

Aktivieren von Unity Catalog

Hinweis

Wenn Ihr Azure Databricks-Konto nach dem 9. November 2023 erstellt wurde, ist für Ihre Arbeitsbereiche möglicherweise standardmäßig der Unity-Katalog aktiviert. Weitere Informationen finden Sie unter Automatische Aktivierung von Unity Catalog.

Zum Aktivieren von Unity Catalog in Ihrem Konto ist ein Kontoadministrator erforderlich. Der Prozess umfasst das Erstellen eines Unity Catalog-Metastores, was nur von einem Kontoadministrator durchgeführt werden kann.

Anweisungen zum Aktivieren von Unity Catalog finden Sie unter Erste Schritte mit Unity Catalog.

Verwalten von Identitäten

Kontoadministratoren sollten ihren Identitätsanbieter ggf. mit Azure Databricks synchronisieren. Weitere Informationen finden Sie unter Synchronisieren von Benutzer*innen und Gruppen über Microsoft Entra ID.

Wenn Sie Unity Catalog für mindestens einen Arbeitsbereich in Ihrem Konto aktiviert haben, sollten Identitäten (Benutzer, Gruppen und Dienstprinzipale) in der Kontokonsole verwaltet werden. Kontoadministratoren können diesen Identitäten Berechtigungen erteilen und Arbeitsbereiche zuweisen.

Weitere Informationen finden Sie unter Verwalten von Benutzern und Gruppen.

Überwachen von Konten mit Systemtabellen

Systemtabellen sind ein von Azure Databricks gehosteter Analysespeicher der operativen Daten Ihres Kontos im system-Katalog. Kontoadmins können Systemtabellen den Zugriff auf Überwachungsprotokolle, abrechnungsfähige Nutzungsprotokolle, Herkunftsdaten und vieles mehr ermöglichen. Siehe "Überwachen der Kontoaktivität mit Systemtabellen".

Verwalten von Kontoeinstellungen

Kontoadministratoren können bestimmte Einstellungen für ihr Azure Databricks-Konto in der Kontokonsole im Abschnitt Einstellungen verwalten. Dazu gehören das Aktivieren neuer Features für das gesamte Konto und das Konfigurieren von IP-Zugriffslisten.

Verwalten von Previews

Verwalten Sie Azure Databricks Previews in Ihrem Arbeitsbereich oder den Arbeitsbereichen einer Organisation. Previews bieten frühzeitigen Zugriff auf Features, bevor sie für die allgemeine Verfügbarkeit (GA) veröffentlicht werden. Weitere Informationen finden Sie unter Verwalten von Azure Databricks Previews.

Was sind Arbeitsbereichsadministratoren?

Arbeitsbereichsadministratoren verfügen über Administratorrechte innerhalb eines einzelnen Arbeitsbereichs. Sie können Identitäten auf Arbeitsbereichsebene verwalten, die Computenutzung regeln und die rollenbasierte Zugriffssteuerung aktivieren und delegieren (nur Premium-Plan).

Zugreifen auf die Administratoreinstellungen

Arbeitsbereichsadministratoren sind die einzigen Benutzer, die Zugriff auf die Seite mit den Administratoreinstellungen des Arbeitsbereichs haben. Als Arbeitsbereichsadmin können Sie auf Administratoreinstellungen zugreifen, indem Sie in der oberen Leiste des Azure Databricks-Arbeitsbereichs Ihren Benutzernamen auswählen und dann Einstellungen auswählen.

Ansicht

Verantwortlichkeiten des Arbeitsbereichsadministrators

Als Arbeitsbereichsadministrator haben Sie folgende Aufgaben:

Verwalten von Identitäten in Ihrem Arbeitsbereich

Wennder Arbeitsbereich für Unity Catalog aktiviert ist, sollten Identitäten auf Kontoebene hinzugefügt werden. Arbeitsbereichsadministratoren können ihrem Arbeitsbereich Benutzer, Gruppen und Dienstprinzipale zuweisen. Weitere Informationen zum Hinzufügen und Entfernen von Identitäten in einem Arbeitsbereich finden Sie unter Verwalten von Benutzern, Dienstprinzipalen und Gruppen.

Hinweis

Databricks Academy bietet einen kostenlosen Kurs zur Identitätsverwaltung. Bevor Sie auf den Kurs zugreifen können, müssen Sie sich zunächst für die Databricks Academy registrieren, falls Sie das noch nicht getan haben.

Erstellen und Verwalten von Computeressourcen

Arbeitsbereichsadministratoren können SQL-Warehouses (eine Computeressource, mit der Sie SQL-Befehle für Datenobjekte in Databricks SQL ausführen können) und Cluster für ihre Arbeitsbereichsbenutzer erstellen. Anweisungen zum Erstellen von SQL-Warehouses finden Sie unter Erstellen von SQL-Warehouses.

Außerdem ist es Aufgabe des Arbeitsbereichsadministrators zu regeln, wie Computeressourcen in seinem Arbeitsbereich verwendet werden. Arbeitsbereichsadministratoren verfügen über die folgenden Tools:

  • Einschränken der Clustererstellungsoptionen von Arbeitsbereichsbenutzern mit Clusterrichtlinien.
    • Databricks empfiehlt, alle Initialisierungsskripts als clusterspezifische Initialisierungsskripts zu verwalten. Anstatt globale Initialisierungsskripts zu verwenden, verwalten Sie Initialisierungsskripts mithilfe von Clusterrichtlinien.
  • Ermitteln, welche Computeressourcen über Zugriff auf Unity Catalog verfügen.

Hinweis

Databricks Academy bietet einen kostenlosen Kurs zur Verwaltung von Computeressourcen.

Verwalten von Arbeitsbereichsfeatures und -einstellungen

Arbeitsbereichsadministrator*innen sind für die Verwaltung des Verhaltens und der Einstellungen ausgewählter Arbeitsbereiche verantwortlich. Informationen zu anderen verfügbaren Arbeitsbereichseinstellungen finden Sie unter Verwalten von Arbeitsbereichseinstellungen.

Hinweis

Databricks Academy bietet einen kostenlosen Kurs zur Arbeitsbereichsverwaltung und Sicherheit für Databricks.

Zusätzliche Ressourcen

Die Databricks Academy bietet einen kostenlosen Lernpfad zum Selbststudium für Plattformadministratoren. Bevor Sie auf den Kurs zugreifen können, müssen Sie sich zunächst für die Databricks Academy registrieren, falls Sie das noch nicht getan haben.

Sie können sich auch für die Teilnahme an einer Live-Schulung zur Plattformverwaltung anmelden.