Introducción a la administración de Azure Databricks
En este artículo se proporciona una introducción a los privilegios y responsabilidades del administrador de Azure Databricks.
Permisos de administrador de Azure necesarios
Para administrar el servicio Azure Databricks, necesita uno de los siguientes permisos de administrador de Azure:
- Un usuario con el rol Colaborador o Propietario de Azure en el nivel de suscripción.
- Un usuario con una definición de roles personalizada que tiene la siguiente lista de permisos:
Microsoft.Databricks/workspaces/*
Microsoft.Compute/register/action
Microsoft.ManagedIdentity/register/action
Microsoft.Storage/register/action
Microsoft.Network/register/action
Nota:
Los Microsoft.Compute/register/action
permisos , Microsoft.ManagedIdentity/register/action
, Microsoft.Storage/register/action
, Microsoft.Network/registe/actionr
no son necesarios si estos proveedores ya están registrados en la suscripción. Consulte Registro del proveedor de recursos.
Tipos de administrador de Databricks
Hay dos niveles principales de privilegios de administrador disponibles en la plataforma de Azure Databricks:
Administradores de cuentas: administran la cuenta de Azure Databricks, incluida la habilitación del catálogo de Unity, el aprovisionamiento de usuarios y la administración de identidades de nivel de cuenta.
Administradores de áreas de trabajo: administran las identidades del área de trabajo, el control de acceso, la configuración y las características de las áreas de trabajo individuales de la cuenta.
Además, a los usuarios se les pueden asignar estos roles de administrador específicos de características, que tienen conjuntos de privilegios más estrechos:
Administradores de Marketplace: administre el perfil de proveedor de Marketplace de Databricks de su cuenta, incluida la creación y administración de listados de Marketplace.
Administradores de Metastore: administre los privilegios y la propiedad de todos los objetos asegurables dentro de una metastore de Unity Catalog, como quién puede crear catálogos o consultar una tabla.
Administradores de facturación: vea los presupuestos y administre las directivas de presupuesto en toda la cuenta.
¿Qué son los administradores de cuentas?
Los administradores de cuentas tienen privilegios sobre toda la cuenta de Azure Databricks. Como administrador de cuentas, puede administrar la configuración de la cuenta, configurar el aprovisionamiento de usuarios, crear metastores para la habilitación del catálogo de Unity y administrar identidades en todas las áreas de trabajo de la cuenta.
Los administradores de cuentas también pueden delegar los roles de administrador de cuentas y administrador de áreas de trabajo a cualquier otro usuario.
Establecimiento de su primer administrador de cuentas
Nota:
Debe tener al menos un área de trabajo de Azure Databricks implementada en su cuenta para poder establecer un administrador de cuenta.
Para habilitar la consola de cuentas y establecer su primer administrador de cuentas, necesitará contratar a alguien que tenga la función de administrador global de Microsoft Entra ID. Con fines de seguridad, solo alguien con el rol administrador global de Azure AD tiene permisos para asignar el primer rol de administrador de cuentas. Después de completar estos pasos, puede quitar el administrador global de la cuenta de Azure Databricks.
El administrador global debe usar las instrucciones siguientes:
- Inicie sesión en Azure Portal con sus credenciales de administrador global.
- Vaya a accounts.azuredatabricks.net e inicie sesión con Microsoft Entra ID. Azure Databricks crea automáticamente un rol de administrador de cuenta.
- Haga clic en Administración de usuarios.
- Busque y haga clic en el nombre de usuario del usuario al que desea delegar el rol de administrador de la cuenta.
- En la pestaña Roles, active Administrador de cuenta.
Una vez que otro usuario tiene el rol de administrador de la cuenta, el administrador global de Microsoft Entra ID ya no debe participar. El nuevo administrador de la cuenta puede quitar el administrador global de la cuenta de Azure Databricks y asignar a otros usuarios el rol de administrador de la cuenta.
Acceso a la consola de la cuenta
La consola de la cuenta es donde los administradores de cuentas administran sus cuentas de Azure Databricks.
Los administradores de cuentas pueden acceder a la consola de la cuenta en https://accounts.azuredatabricks.net o haciendo clic en el selector del área de trabajo en la parte superior de la interfaz de usuario del área de trabajo y seleccionando Administrar cuenta.
Los usuarios de la cuenta que no son administradores de cuentas solo pueden acceder a la cuenta desde https://accounts.azuredatabricks.net. Después de iniciar sesión, la consola de la cuenta se abre con una lista de sus áreas de trabajo.
Nota:
Si está en varios inquilinos de Microsoft Entra ID, la dirección URL de la consola de la cuenta le llevará a la consola de la cuenta de Azure Databricks del inquilino predeterminado. Para acceder a la consola de la cuenta de un inquilino diferente, acceda a la consola de la cuenta desde un área de trabajo del inquilino preferido.
Responsabilidades del administrador de cuentas
Como administrador de cuentas, sus responsabilidades incluyen:
- Habilitación del catálogo de Unity
- Administración de identidades
- Supervisar los registros de uso de la cuenta
- Administración de la configuración en el nivel de cuenta
- Administración de versiones preliminares de Databricks
Habilitación del catálogo de Unity
Nota:
Si la cuenta de Azure Databricks se creó después del 9 de noviembre de 2023, es posible que las áreas de trabajo tengan habilitado Unity Catalog de forma predeterminada. Para obtener más información, consulte Habilitación automática de Unity Catalog.
Se necesita un administrador de cuentas para habilitar el catálogo de Unity en su cuenta. El proceso implica la creación de un metastore de catálogos de Unity, que solo puede realizar un administrador de cuentas.
Para obtener instrucciones sobre cómo habilitar el catálogo de Unity, consulte Introducción al uso del catálogo de Unity.
Administración de identidades
Los administradores de cuentas deben sincronizar su proveedor de identidades con Azure Databricks si procede. Consulte Sincronización de usuarios y grupos desde Microsoft Entra ID.
Si ha habilitado el catálogo de Unity para al menos un área de trabajo de la cuenta, las identidades (usuarios, grupos y entidades de servicio) deben administrarse en la consola de la cuenta. Los administradores de cuentas pueden conceder permisos y asignar áreas de trabajo a estas identidades.
Para más información, consulte Administración de usuarios y grupos.
Supervisar la cuenta con tablas del sistema
Las tablas de sistema son un almacén analítico hospedado en Azure Databricks de los datos operativos de su cuenta que se encuentran en el catálogo system
. Los administradores de cuentas pueden habilitar tablas del sistema para acceder a registros de auditoría, registros de uso facturable, datos de linaje, etc. Consulta Supervisar el uso con las tablas del sistema.
Administración de la configuración de la cuenta
Los administradores de cuentas pueden administrar aspectos de su cuenta de Azure Databricks desde la consola de la cuenta mediante la sección Configuración. Esto incluye habilitar nuevas características en la cuenta y configurar listas de acceso IP.
Administración de versiones preliminares
Administre las versiones preliminares de Azure Databricks en el área de trabajo o en las áreas de trabajo de una organización. Las versiones preliminares proporcionan acceso anticipado a las características antes de que se publiquen para disponibilidad general (GA). Consulte Administración de las versiones preliminares de Azure Databricks.
¿Qué son los administradores de áreas de trabajo?
Los administradores de áreas de trabajo tienen privilegios de administrador dentro de una sola área de trabajo. Pueden administrar identidades de nivel de área de trabajo, regular el uso de proceso, y habilitar y delegar el control de acceso basado en roles (solo plan Premium).
Acceso a la configuración del administrador
Los administradores de áreas de trabajo son los únicos usuarios que tienen acceso a la página de configuración de administrador de áreas de trabajo. Como administrador del área de trabajo, puede acceder a la configuración de administrador haciendo clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccionando Configuración.
Responsabilidades del administrador de áreas de trabajo
Como administrador de áreas de trabajo, sus responsabilidades incluyen:
- Administración de identidades en el área de trabajo
- Creación y administración de recursos de proceso
- Administración de las características y la configuración del área de trabajo
Administración de identidades en el área de trabajo
Si el área de trabajo está habilitada para el catálogo de Unity, las identidades deben añadirse a nivel de cuenta. A continuación, los administradores de áreas de trabajo pueden asignar usuarios, grupos y entidades de servicio a sus áreas de trabajo. Para más información sobre cómo agregar y quitar identidades en un área de trabajo, consulte Administración de usuarios, entidades de servicio y grupos.
Nota:
Databricks Academy tiene un curso gratuito sobre administración de identidades. Para poder acceder al curso, primero debe registrarse en Databricks Academy si aún no lo ha hecho.
Creación y administración de recursos de proceso
Los administradores de áreas de trabajo pueden crear almacenes de SQL (un recurso de proceso que le permite ejecutar comandos SQL en objetos de datos de Databricks SQL) y clústeres para sus usuarios de áreas de trabajo. Para obtener instrucciones sobre cómo crear almacenes de SQL, consulte Configuración de almacenes SQL.
También es el administrador de áreas de trabajo quién regula cómo se usan los recursos de proceso en su área de trabajo. Los administradores de áreas de trabajo tienen las siguientes herramientas:
- Limite las opciones de creación de clústeres de los usuarios del área de trabajo con directivas de clúster.
- Databricks recomienda administrar todos los scripts de inicialización como scripts de inicialización con ámbito de clúster. En lugar de usar scripts de inicialización globales, administre los scripts de inicialización mediante directivas de clúster.
- Obtenga información sobre qué recursos de proceso tienen acceso al catálogo de Unity.
Nota:
Databricks Academy tiene un curso gratuito sobre administración de recursos de proceso.
Administración de características y configuraciones de áreas de trabajo
Los administradores de áreas de trabajo son responsables de administrar la configuración y el comportamiento del área de trabajo seleccionada. Para obtener información sobre otras opciones de configuración del área de trabajo disponibles, consulte Administración de la configuración del área de trabajo.
Nota:
Databricks Academy tiene un curso gratuito sobre administración y seguridad de áreas de trabajo de Databricks.
Recursos adicionales
Databricks Academy tiene una ruta de aprendizaje autodirigida gratuita para los administradores de plataformas. Para poder acceder al curso, primero debe registrarse en Databricks Academy si aún no lo ha hecho.
También puede registrarse para asistir a una formación de administración de plataformas en directo.