Udostępnij za pośrednictwem

Wprowadzenie do administrowania usługą Azure Databricks

  • Artykuł

Ten artykuł zawiera wprowadzenie do uprawnień i obowiązków administratora usługi Azure Databricks.

Wymagane uprawnienia administratora platformy Azure

Aby zarządzać usługą Azure Databricks, musisz należeć do jednej z następujących kategorii:

  • Użytkownik z rolą współautora platformy Azure lub rolą właściciela na poziomie subskrypcji.
  • Użytkownik z niestandardową definicją roli, która ma następującą listę uprawnień:
    • Microsoft.Databricks/workspaces/*
    • Microsoft.Resources/subscriptions/resourceGroups/read
    • Microsoft.Resources/subscriptions/resourceGroups/write
    • Microsoft.Databricks/accessConnectors/*
    • Microsoft.Compute/register/action
    • Microsoft.ManagedIdentity/register/action
    • Microsoft.Storage/register/action
    • Microsoft.Network/register/action
    • Microsoft.Resources/deployments/validate/action
    • Microsoft.Resources/deployments/write
    • Microsoft.Resources/deployments/read

Uwaga

Uprawnienia Microsoft.Compute/register/action, Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/register/action nie są wymagane, jeśli ci dostawcy są już zarejestrowani w subskrypcji. Zobacz Rejestrowanie dostawcy zasobów.

Typy administratorów usługi Databricks

Na platformie Azure Databricks są dostępne dwa główne poziomy uprawnień administratora:

  • Administratorzy konta: zarządzają kontem usługi Azure Databricks, w tym włączaniem Unity Catalog, aprowizowaniem użytkowników i zarządzaniem tożsamością na poziomie konta.

  • Administratorzy obszaru roboczego: zarządzanie tożsamościami obszarów roboczych, kontrolą dostępu, ustawieniami i funkcjami poszczególnych obszarów roboczych na koncie.

Ponadto użytkownicy mogą mieć przypisane te role administratora specyficzne dla funkcji, które mają węższe zestawy uprawnień:

Co to są administratorzy kont?

Administratorzy kont mają uprawnienia do całego konta usługi Azure Databricks. Jako administrator konta możesz zarządzać ustawieniami konta, konfigurować aprowizację użytkowników, tworzyć metastory na potrzeby aktywacji usługi Unity Catalog i zarządzać tożsamościami we wszystkich obszarach roboczych na koncie.

Administratorzy kont mogą również delegować role administratora konta i administratora obszaru roboczego do dowolnego innego użytkownika.

Ustanawianie pierwszego administratora konta

Uwaga

Konsola konta nie jest dostępna w regionach usługi Azure Government.

Aby włączyć konsolę konta i ustanowić pierwszego administratora konta, musisz zaangażować osobę, która ma rolę administratora globalnego identyfikatora entra firmy Microsoft. W celach bezpieczeństwa tylko osoba z rolą administratora globalnego identyfikatora entra firmy Microsoft ma uprawnienia do przypisywania pierwszej roli administratora konta. Po wykonaniu tych kroków możesz usunąć administratora globalnego z konta usługi Azure Databricks.

Administrator globalny powinien używać następujących instrukcji:

  1. Zaloguj się do witryny Azure Portal przy użyciu poświadczeń administratora globalnego.
  2. Przejdź do accounts.azuredatabricks.net i zaloguj się przy użyciu identyfikatora Entra firmy Microsoft. Usługa Azure Databricks automatycznie tworzy rolę administratora konta.
  3. Kliknij pozycję Zarządzanie użytkownikami.
  4. Znajdź i kliknij nazwę użytkownika, do którego chcesz delegować rolę administratora konta.
  5. Na karcie Role włącz pozycję Administrator konta.

Gdy inny użytkownik ma rolę administratora konta, administrator globalny identyfikatora firmy Microsoft nie musi już być zaangażowany. Nowy administrator konta może usunąć administratora globalnego z konta usługi Azure Databricks i przypisać innym użytkownikom rolę administratora konta.

Uzyskiwanie dostępu do konsoli konta

Konsola konta służy do zarządzania kontem usługi Azure Databricks przez administratorów kont.

Domyślny widok konsoli konta

Administratorzy kont mogą uzyskać dostęp do konsoli konta pod https://accounts.azuredatabricks.net adresem lub klikając selektor obszaru roboczego w górnej części interfejsu użytkownika obszaru roboczego i wybierając pozycję Zarządzaj kontem.

Użytkownicy kont, którzy nie są administratorami kont, mogą uzyskiwać dostęp do konta tylko z witryny https://accounts.azuredatabricks.net. Po zalogowaniu konsola konta otwiera się na listę obszarów roboczych.

Uwaga

Jeśli jesteś w wielu dzierżawach usługi Microsoft Entra ID, adres URL konsoli konta spowoduje przełączenie cię do konsoli konta usługi Azure Databricks w dzierżawie domyślnej. Aby uzyskać dostęp do konsoli konta innej dzierżawy, uzyskaj dostęp do konsoli konta z poziomu obszaru roboczego w preferowanej dzierżawie.

Obowiązki administratora konta

Jako administrator konta twoje obowiązki obejmują:

Włącz Unity Catalog

Uwaga

Jeśli konto usługi Azure Databricks zostało utworzone po 9 listopada 2023 r., twoje obszary robocze mogą mieć domyślnie włączony Unity Catalog. Aby uzyskać więcej informacji, zobacz automatyczne włączanie Unity Catalog.

Aby włączyć Unity Catalog w swoim koncie, potrzebny jest administrator konta. Proces obejmuje utworzenie metastore Unity Catalogu, który może być utworzony tylko przez administratora konta.

Aby uzyskać instrukcje dotyczące włączania Unity Catalog, zobacz Wprowadzenie do korzystania z Unity Catalog.

Zarządzanie tożsamościami

Administratorzy kont powinni zsynchronizować dostawcę tożsamości z usługą Azure Databricks, jeśli ma to zastosowanie. Zobacz Synchronizuj użytkowników i grupy z Microsoft Entra ID za pomocą SCIM.

Jeśli włączono Unity Catalog dla co najmniej jednego obszaru roboczego na koncie, tożsamości (użytkowników, grup i jednostek usługi) powinny być zarządzane w konsoli zarządzania kontem. Administratorzy kont mogą udzielać uprawnień i przypisywać obszary robocze do tych tożsamości.

Aby uzyskać więcej informacji, zobacz Zarządzanie użytkownikami i grupami.

Monitoruj konto za pomocą tabel systemowych

Tabele systemowe to magazyn analityczny danych operacyjnych twojego konta hostowany w usłudze Azure Databricks, znajdujący się w katalogu system. Administratorzy kont mogą włączyć tabele systemowe, aby uzyskiwać dostęp do dzienników audytu, dzienników użycia podlegających opłacie, danych powiązań i nie tylko. Zobacz Monitorowanie aktywności konta za pomocą tabel systemowych.

Zarządzanie ustawieniami konta

Administratorzy konta mogą zarządzać aspektami konta usługi Azure Databricks z poziomu konsoli konta przy użyciu sekcji Ustawienia . Obejmuje to włączanie nowych funkcji na koncie i konfigurowanie list dostępu do adresów IP.

Zarządzanie podglądami

Zarządzanie wersjami zapoznawczami usługi Azure Databricks w obszarze roboczym lub w obszarach roboczych organizacji. Wersje zapoznawcze zapewniają wczesny dostęp do funkcji przed ich udostępnieniem w celu zapewnienia ogólnej dostępności. Zobacz Zarządzanie wersjami zapoznawcza usługi Azure Databricks.

Co to są administratorzy obszaru roboczego?

Administratorzy obszaru roboczego mają uprawnienia administratora w ramach jednego obszaru roboczego. Mogą zarządzać tożsamościami na poziomie obszaru roboczego, regulować użycie zasobów obliczeniowych oraz włączać i delegować kontrolę dostępu opartą na rolach (tylko plan Premium).

Uzyskiwanie dostępu do ustawień administratora

Administratorzy obszaru roboczego są jedynymi użytkownikami, którzy mają dostęp do strony ustawień administratora obszaru roboczego. Jako administrator obszaru roboczego możesz uzyskać dostęp do ustawień administratora, klikając swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierając pozycję Ustawienia.

Domyślny widok ustawień administratora

Obowiązki administratora obszaru roboczego

Jako administrator obszaru roboczego twoje obowiązki obejmują:

Zarządzanie tożsamościami w obszarze roboczym

Jeśli obszar roboczy jest włączony dla katalogu aparatu Unity, tożsamości powinny zostać dodane na poziomie konta. Administratorzy obszaru roboczego mogą następnie przypisywać użytkowników, grupy i jednostki usługi do swojego obszaru roboczego. Aby uzyskać więcej informacji na temat dodawania i usuwania tożsamości w obszarze roboczym, zobacz Zarządzanie użytkownikami, jednostkami usługi i grupami.

Uwaga

Akademia usługi Databricks oferuje bezpłatny kurs dotyczący administrowania tożsamościami. Przed uzyskaniem dostępu do kursu musisz najpierw zarejestrować się w akademii usługi Databricks, jeśli jeszcze tego nie zrobiono.

Tworzenie zasobów obliczeniowych i zarządzanie nimi

Administratorzy obszaru roboczego mogą tworzyć magazyny SQL (zasób obliczeniowy, który umożliwia uruchamianie poleceń SQL na obiektach danych w usłudze Databricks SQL) i klastrach dla użytkowników obszaru roboczego. Aby uzyskać instrukcje dotyczące tworzenia magazynów SQL, zobacz Tworzenie magazynu SQL Warehouse.

Jest to również zadanie administratora obszaru roboczego w celu regulowania sposobu użycia zasobów obliczeniowych w ich obszarze roboczym. Administratorzy obszaru roboczego mają następujące narzędzia:

  • Ogranicz opcje tworzenia klastra użytkowników obszaru roboczego przy użyciu zasad klastra .
    • Usługa Databricks zaleca zarządzanie wszystkimi skryptami inicjowania jako skryptami inicjowania o zakresie klastra. Zamiast używać globalnych skryptów inicjowania, zarządzaj inicjowaniem przy użyciu zasad klastra.
  • Dowiedz się, które zasoby obliczeniowe mają dostęp katalogu aparatu Unity.

Uwaga

Akademia usługi Databricks oferuje bezpłatny kurs dotyczący administrowania zasobami obliczeniowymi.

Zarządzanie funkcjami i ustawieniami obszarów roboczych

Administratorzy obszaru roboczego są odpowiedzialni za zarządzanie zachowaniem i ustawieniami wybranego obszaru roboczego. Aby uzyskać informacje na temat innych dostępnych ustawień obszaru roboczego, zobacz Zarządzanie ustawieniami obszaru roboczego.

Uwaga

Akademia usługi Databricks oferuje bezpłatny kurs dotyczący administrowania obszarami roboczymi i zabezpieczeń usługi Databricks.

Dodatkowe zasoby

Akademia usługi Databricks ma bezpłatną ścieżkę szkoleniową dla administratorów platformy. Przed uzyskaniem dostępu do kursu musisz najpierw zarejestrować się w akademii usługi Databricks, jeśli jeszcze tego nie zrobiono.

Możesz również zarejestrować się, aby wziąć udział w szkoleniu administrowania platformą na żywo.

Możesz również uzyskać odpowiedzi na wiele pytań w społeczności Databricks Community.