Introduzione all'amministrazione di Azure Databricks
Questo articolo offre un'introduzione ai privilegi e alle responsabilità di amministratore di Azure Databricks.
Autorizzazioni di amministratore di Azure necessarie
Per gestire il servizio Azure Databricks, è necessario essere uno dei seguenti:
- Un utente con il ruolo Collaboratore di Azure o Proprietario a livello di sottoscrizione.
- Un utente con una definizione di ruolo personalizzata con l'elenco di autorizzazioni seguente:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
Nota
Le autorizzazioni Microsoft.Compute/register/action, Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/register/action non sono necessarie se questi provider sono già registrati nella sottoscrizione. Vedere Registrare il provider di risorse.
Tipi di amministratore di Databricks
Nella piattaforma Azure Databricks sono disponibili due livelli principali di privilegi di amministratore:
amministratori account: gestiscono l'account Azure Databricks, inclusa l'abilitazione di Unity Catalog, il provisioning degli utenti e la gestione delle identità a livello di account.
Amministratore dell'area di lavoro: gestisce le identità dell'area di lavoro, il controllo di accesso, le impostazioni e le caratteristiche per le singole aree di lavoro nell'account.
Inoltre, agli utenti possono essere assegnati questi ruoli di amministratore specifici delle caratteristiche, che hanno set di privilegi più ristretti:
Amministratore del Marketplace: gestisce il profilo del provider di Databricks Marketplace del proprio account, inclusa la creazione e la gestione delle presentazioni nel Marketplace.
Amministratori del metastore: Gestire privilegi e proprietà per tutti gli oggetti sicurabili all'interno di un Unity Catalog metastore, ad esempio chi può creare cataloghi o eseguire query su una tabella.
Amministratori fatturazione: visualizzare i budget e gestire i criteri di budget nell'account.
Che cosa sono gli amministratori dell'account?
Gli amministratori dell'account hanno privilegi sull'intero account Azure Databricks. In qualità di amministratore dell'account, puoi gestire le impostazioni dell'account, impostare il provisioning degli utenti, creare metastore per abilitare il catalogo Unity e gestire le identità in tutti gli spazi di lavoro dell'account.
Gli amministratori dell'account possono anche delegare i ruoli di amministratore dell'account e amministratore dell'area di lavoro a qualsiasi altro utente.
Stabilire il primo amministratore dell'account
Nota
La console dell'account non è disponibile nelle aree Azure per enti pubblici.
Per abilitare la console dell'account e stabilire il primo amministratore dell'account, è necessario contattare un utente con il ruolo amministratore globale di Microsoft Entra ID. Ai fini della sicurezza, solo un utente con il ruolo amministratore globale di Microsoft Entra ID dispone delle autorizzazioni per assegnare il primo ruolo di amministratore dell'account. Dopo aver completato questi passaggi, è possibile rimuovere l'amministratore globale dall'account Azure Databricks.
L'amministratore globale deve usare le istruzioni seguenti:
- Accedere al portale di Azure con le credenziali di amministratore globale.
- Passare a accounts.azuredatabricks.net e accedere con Microsoft Entra ID. Azure Databricks crea automaticamente un ruolo di amministratore dell'account.
- Fare clic su Gestione utenti.
- Trovare e fare clic sul nome utente dell'utente a cui si vuole delegare il ruolo di amministratore dell'account.
- Nella scheda Ruoli attivare Amministratore account.
Una volta che un altro utente ha il ruolo di amministratore dell'account, l'amministratore globale di Microsoft Entra ID non deve più essere coinvolto. Il nuovo amministratore dell'account può rimuovere l'amministratore globale dall'account Azure Databricks e assegnare ad altri utenti il ruolo di amministratore dell'account.
Accedere alla console dell'account
La console dell'account è la posizione in cui gli amministratori dell'account gestiscono l'account Azure Databricks.
Gli amministratori dell'account possono accedere alla console dell'account all'indirizzo https://accounts.azuredatabricks.net o facendo clic sul selettore dell'area di lavoro nella parte superiore dell'interfaccia utente dell'area di lavoro e selezionando Gestisci account.
Gli utenti dell'account che non sono amministratori dell'account possono accedere all'account solo da https://accounts.azuredatabricks.net. Al momento dell'accesso, la console dell'account mostrerà un elenco delle loro aree di lavoro.
Nota
Se ci si trova in più tenant di Microsoft Entra ID, l'URL della console dell'account consente di accedere alla console dell'account Azure Databricks nel tenant predefinito. Per accedere alla console dell'account di un tenant diverso, accedere alla console dell'account dall'interno di un'area di lavoro nel tenant preferito.
Responsabilità dell'amministratore dell'account
Gli amministratori dell'account includono:
- l'abilitazione del catalogo Unity
- Gestione delle identità
- Monitoraggio dei log di utilizzo degli account
- Gestione delle impostazioni a livello di account
- Gestione delle anteprime di Databricks
Abilitare il catalogo Unity
Nota
Se l'account Azure Databricks è stato creato dopo il 9 novembre 2023, per impostazione predefinita le aree di lavoro potrebbero avere Il catalogo Unity abilitato. Per ulteriori informazioni, vedere Abilitazione Automatica di Unity Catalog.
È necessario un amministratore dell'account per abilitare Unity Catalog nell'account. Il processo consiste nella creazione di un metastore del Catalogo Unity, che può essere eseguito solo da un amministratore dell'account.
Per istruzioni sull'abilitazione del catalogo Unity, vedere Introduzione all'uso di Unity Catalog.
Gestire le identità
Gli amministratori dell'account devono sincronizzare il provider di identità con Azure Databricks, se applicabile. Consulta Sincronizzare utenti e gruppi da Microsoft Entra ID utilizzando SCIM.
Se è stato abilitato Unity Catalog per almeno un'area di lavoro nell'account, le identità (utenti, gruppi e entità servizio) devono essere gestite nella console dell'account. Gli amministratori dell'account possono concedere autorizzazioni e assegnare aree di lavoro a queste identità.
Per ulteriori informazioni, vedere Gestire gli utenti e i gruppi.
Monitorare l'account con le tabelle di sistema
Le tabelle di sistema sono un archivio analitico ospitato in Azure Databricks dei dati operativi dell'account disponibili nel catalogo system. Gli amministratori dell'account possono abilitare le tabelle di sistema per accedere ai log di controllo, ai log di utilizzo fatturabili, ai dati di derivazione e altro ancora. Vedere Monitorare l'attività dell'account con le tabelle di sistema.
Gestire le impostazioni dell'account
Gli amministratori dell'account possono gestire gli aspetti dell'account Azure Databricks dalla console dell'account usando la sezione Impostazioni . Ciò include l'abilitazione di nuove funzionalità nell'account e la configurazione degli elenchi di accesso IP.
Gestire le anteprime
Gestire le anteprime di Azure Databricks nell'area di lavoro o nelle aree di lavoro di un'organizzazione. Le anteprime forniscono l'accesso anticipato alle funzionalità prima che vengano rilasciate per la disponibilità generale. Vedere Gestire le anteprime di Azure Databricks.
Che cosa sono gli amministratori dell'area di lavoro?
Gli amministratori dell'area di lavoro hanno privilegi di amministratore all'interno di una singola area di lavoro. Possono gestire le identità a livello di area di lavoro, regolare l'uso del calcolo e abilitare e delegare il controllo degli accessi in base al ruolo (solo piano Premium).
Accedere alle impostazioni di amministratore
Gli amministratori dell'area di lavoro sono gli unici utenti che hanno accesso alla pagina delle impostazioni di amministrazione dell'area di lavoro. Gli amministratori dell'area di lavoro possono accedere alle impostazioni di amministrazione facendo clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionando Impostazioni.
Responsabilità dell'amministratore dell'area di lavoro
Gli amministratori dell'area di lavoro includono:
- Gestione delle identità nell'area di lavoro
- Creazione e gestione delle risorse di calcolo
- Gestione delle funzionalità e delle impostazioni dell'area di lavoro
Gestire le identità nell'area di lavoro
Se l'area di lavoro è abilitata per Catalogo Unity, le identità devono essere aggiunte a livello di account. Gli amministratori dell'area di lavoro possono quindi assegnare utenti, gruppi ed entità servizio all'area di lavoro. Per altre informazioni sull'aggiunta e la rimozione di identità in un'area di lavoro, vedere Gestire utenti, entità servizio e gruppi.
Nota
Databricks Academy ha un corso gratuito sull'amministrazione delle identità. Prima di poter accedere al corso, è necessario registrarsi per Databricks Academy , se non è già stato fatto.
Creare e gestire risorse di calcolo
Gli amministratori dell'area di lavoro possono creare sql warehouse (una risorsa di calcolo che consente di eseguire comandi SQL su oggetti dati all'interno di Databricks SQL) e cluster per gli utenti dell'area di lavoro. Per istruzioni sulla creazione di sql warehouse, vedere Creare un'istanza di SQL Warehouse.
È anche il lavoro dell'amministratore dell'area di lavoro per regolare il modo in cui vengono usate le risorse di calcolo nell'area di lavoro. Gli amministratori dell'area di lavoro hanno gli strumenti seguenti:
- Limitare le opzioni di creazione del cluster per gli utenti dell'area di lavoro con le politiche del cluster .
- Databricks consiglia di gestire tutti gli script init come script init con ambito cluster. Invece di usare script init globali, gestire gli elementi scipt init usando i criteri del cluster.
- Informazioni sulle risorse di calcolo con accesso catalogo Unity.
Nota
Databricks Academy ha un corso gratuito sull'amministrazione delle risorse di calcolo.
Gestire le funzionalità e le impostazioni delle aree di lavoro
Gli amministratori dell'area di lavoro sono responsabili della gestione del comportamento e delle impostazioni dell'area di lavoro selezionati. Per informazioni su altre impostazioni dell'area di lavoro disponibili, vedere Gestione delle impostazioni dell'area di lavoro.
Nota
Databricks Academy ha un corso gratuito sull'amministrazione e la sicurezza dell'area di lavoro di Databricks.
Risorse aggiuntive
Databricks Academy offre un percorso di apprendimento autonomo gratuito per gli amministratori della piattaforma. Prima di poter accedere al corso, è necessario registrarsi per Databricks Academy , se non è già stato fatto.
È anche possibile iscriversi per partecipare a una formazione di amministrazione della piattaforma live.
È anche possibile ottenere risposte a molte domande nella Databricks Community.