Wprowadzenie do administrowania usługą Azure Databricks
Ten artykuł zawiera wprowadzenie do uprawnień i obowiązków administratora usługi Azure Databricks.
Wymagane uprawnienia administratora platformy Azure
Do zarządzania usługą Azure Databricks potrzebne są następujące uprawnienia administratora platformy Azure:
- Użytkownik z rolą Współautor lub Właściciel platformy Azure na poziomie subskrypcji.
- Użytkownik z niestandardową definicją roli, która ma następującą listę uprawnień:
Microsoft.Databricks/workspaces/*
Microsoft.Databricks/accessConnectors/*
Microsoft.Compute/register/action
Microsoft.ManagedIdentity/register/action
Microsoft.Storage/register/action
Microsoft.Network/register/action
Uwaga
Uprawnienia Microsoft.Compute/register/action
, , Microsoft.Storage/register/action
Microsoft.ManagedIdentity/register/action
, Microsoft.Network/registe/actionr
nie są wymagane, jeśli ci dostawcy są już zarejestrowani w subskrypcji. Zobacz Rejestrowanie dostawcy zasobów.
Typy administratorów usługi Databricks
Na platformie Azure Databricks są dostępne dwa główne poziomy uprawnień administratora:
Administratorzy konta: zarządzaj kontem usługi Azure Databricks, w tym włączaniem katalogu aparatu Unity, aprowizowaniem użytkowników i zarządzaniem tożsamościami na poziomie konta.
Administratorzy obszaru roboczego: zarządzanie tożsamościami obszarów roboczych, kontrolą dostępu, ustawieniami i funkcjami poszczególnych obszarów roboczych na koncie.
Ponadto użytkownicy mogą mieć przypisane te role administratora specyficzne dla funkcji, które mają węższe zestawy uprawnień:
Administratorzy witryny Marketplace: zarządzaj profilem dostawcy usługi Databricks Marketplace konta, w tym tworzeniem list w witrynie Marketplace i zarządzaniem nimi.
Administratorzy magazynu metadanych: zarządzaj uprawnieniami i własnością wszystkich zabezpieczanych obiektów w magazynie metadanych wykazu aparatu Unity, takich jak kto może tworzyć wykazy lub wykonywać zapytania dotyczące tabeli.
Administratorzy rozliczeń: wyświetlanie budżetów i zarządzanie zasadami budżetu na koncie.
Co to są administratorzy kont?
Administratorzy kont mają uprawnienia do całego konta usługi Azure Databricks. Jako administrator konta możesz zarządzać ustawieniami konta, konfigurować aprowizację użytkowników, tworzyć magazyny metadanych na potrzeby włączania wykazu aparatu Unity i zarządzać tożsamościami we wszystkich obszarach roboczych na koncie.
Administratorzy kont mogą również delegować role administratora konta i administratora obszaru roboczego do dowolnego innego użytkownika.
Ustanawianie pierwszego administratora konta
Uwaga
Konsola konta nie jest dostępna w regionach usługi Azure Government.
Aby włączyć konsolę konta i ustanowić pierwszego administratora konta, musisz zaangażować osobę, która ma rolę administratora globalnego identyfikatora entra firmy Microsoft. W celach bezpieczeństwa tylko osoba z rolą administratora globalnego identyfikatora entra firmy Microsoft ma uprawnienia do przypisywania pierwszej roli administratora konta. Po wykonaniu tych kroków możesz usunąć administratora globalnego z konta usługi Azure Databricks.
Administrator globalny powinien używać następujących instrukcji:
- Zaloguj się do witryny Azure Portal przy użyciu poświadczeń administratora globalnego.
- Przejdź do accounts.azuredatabricks.net i zaloguj się przy użyciu identyfikatora Entra firmy Microsoft. Usługa Azure Databricks automatycznie tworzy rolę administratora konta.
- Kliknij pozycję Zarządzanie użytkownikami.
- Znajdź i kliknij nazwę użytkownika, do którego chcesz delegować rolę administratora konta.
- Na karcie Role włącz pozycję Administrator konta.
Gdy inny użytkownik ma rolę administratora konta, administrator globalny identyfikatora firmy Microsoft nie musi już być zaangażowany. Nowy administrator konta może usunąć administratora globalnego z konta usługi Azure Databricks i przypisać innym użytkownikom rolę administratora konta.
Uzyskiwanie dostępu do konsoli konta
Konsola konta służy do zarządzania kontem usługi Azure Databricks przez administratorów kont.
Administratorzy kont mogą uzyskać dostęp do konsoli konta pod https://accounts.azuredatabricks.net adresem lub klikając selektor obszaru roboczego w górnej części interfejsu użytkownika obszaru roboczego i wybierając pozycję Zarządzaj kontem.
Użytkownicy kont, którzy nie są administratorami kont, mogą uzyskiwać dostęp do konta tylko z witryny https://accounts.azuredatabricks.net. Po zalogowaniu konsola konta otworzy listę swoich obszarów roboczych.
Uwaga
Jeśli jesteś w wielu dzierżawach usługi Microsoft Entra ID, adres URL konsoli konta spowoduje przełączenie cię do konsoli konta usługi Azure Databricks w dzierżawie domyślnej. Aby uzyskać dostęp do konsoli konta innej dzierżawy, uzyskaj dostęp do konsoli konta z poziomu obszaru roboczego w preferowanej dzierżawie.
Obowiązki administratora konta
Jako administrator konta twoje obowiązki obejmują:
- Włączanie wykazu aparatu Unity
- Zarządzanie tożsamościami
- Monitorowanie dzienników użycia konta
- Zarządzanie ustawieniami na poziomie konta
- Zarządzanie podglądami usługi Databricks
Włączanie wykazu aparatu Unity
Uwaga
Jeśli konto usługi Azure Databricks zostało utworzone po 9 listopada 2023 r., twoje obszary robocze mogą być domyślnie włączone w wykazie aparatu Unity. Aby uzyskać więcej informacji, zobacz Automatyczne włączanie wykazu aparatu Unity.
Administrator konta jest wymagany do włączenia wykazu aparatu Unity na koncie. Proces obejmuje utworzenie magazynu metadanych wykazu aparatu Unity, który można wykonać tylko przez administratora konta.
Aby uzyskać instrukcje dotyczące włączania wykazu aparatu Unity, zobacz Wprowadzenie do korzystania z wykazu aparatu Unity.
Zarządzanie tożsamościami
Administratorzy kont powinni zsynchronizować dostawcę tożsamości z usługą Azure Databricks, jeśli ma to zastosowanie. Zobacz Synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft.
Jeśli włączono katalog aparatu Unity dla co najmniej jednego obszaru roboczego na koncie, tożsamości (użytkowników, grup i jednostek usługi) powinny być zarządzane w konsoli konta. Administratorzy kont mogą udzielać uprawnień i przypisywać obszary robocze do tych tożsamości.
Aby uzyskać więcej informacji, zobacz Zarządzanie użytkownikami i grupami.
Monitorowanie konta przy użyciu tabel systemowych
Tabele systemowe to magazyn analityczny hostowany w usłudze Azure Databricks danych operacyjnych konta znajdujących się w wykazie system
. Administratorzy kont mogą włączyć tabele systemowe, aby uzyskiwać dostęp do dzienników inspekcji, rozliczanych dzienników użycia, danych pochodzenia i nie tylko. Zobacz Monitorowanie aktywności konta przy użyciu tabel systemowych.
Zarządzanie ustawieniami konta
Administratorzy konta mogą zarządzać aspektami konta usługi Azure Databricks z poziomu konsoli konta przy użyciu sekcji Ustawienia . Obejmuje to włączanie nowych funkcji na koncie i konfigurowanie list dostępu do adresów IP.
Zarządzanie podglądami
Zarządzanie wersjami zapoznawczami usługi Azure Databricks w obszarze roboczym lub w obszarach roboczych organizacji. Wersje zapoznawcze zapewniają wczesny dostęp do funkcji przed ich udostępnieniem w celu zapewnienia ogólnej dostępności. Zobacz Zarządzanie wersjami zapoznawcza usługi Azure Databricks.
Co to są administratorzy obszaru roboczego?
Administratorzy obszaru roboczego mają uprawnienia administratora w ramach jednego obszaru roboczego. Mogą zarządzać tożsamościami na poziomie obszaru roboczego, regulować użycie zasobów obliczeniowych oraz włączać i delegować kontrolę dostępu opartą na rolach (tylko plan Premium).
Uzyskiwanie dostępu do ustawień administratora
Administratorzy obszaru roboczego są jedynymi użytkownikami, którzy mają dostęp do strony ustawień administratora obszaru roboczego. Jako administrator obszaru roboczego możesz uzyskać dostęp do ustawień administratora, klikając swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierając pozycję Ustawienia.
Obowiązki administratora obszaru roboczego
Jako administrator obszaru roboczego twoje obowiązki obejmują:
- Zarządzanie tożsamościami w obszarze roboczym
- Tworzenie zasobów obliczeniowych i zarządzanie nimi
- Zarządzanie funkcjami i ustawieniami obszaru roboczego
Zarządzanie tożsamościami w obszarze roboczym
Jeśli obszar roboczy jest włączony dla wykazu aparatu Unity, tożsamości powinny być dodawane na poziomie konta. Administratorzy obszaru roboczego mogą następnie przypisywać użytkowników, grupy i jednostki usługi do swojego obszaru roboczego. Aby uzyskać więcej informacji na temat dodawania i usuwania tożsamości w obszarze roboczym, zobacz Zarządzanie użytkownikami, jednostkami usługi i grupami.
Uwaga
Akademia usługi Databricks oferuje bezpłatny kurs dotyczący administrowania tożsamościami. Przed uzyskaniem dostępu do kursu musisz najpierw zarejestrować się w akademii usługi Databricks, jeśli jeszcze tego nie zrobiono.
Tworzenie zasobów obliczeniowych i zarządzanie nimi
Administratorzy obszaru roboczego mogą tworzyć magazyny SQL (zasób obliczeniowy, który umożliwia uruchamianie poleceń SQL na obiektach danych w usłudze Databricks SQL) i klastrach dla użytkowników obszaru roboczego. Aby uzyskać instrukcje dotyczące tworzenia magazynów SQL, zobacz Tworzenie magazynu SQL Warehouse.
Jest to również zadanie administratora obszaru roboczego w celu regulowania sposobu użycia zasobów obliczeniowych w ich obszarze roboczym. Administratorzy obszaru roboczego mają następujące narzędzia:
- Ogranicz opcje tworzenia klastra użytkowników obszaru roboczego przy użyciu zasad klastra.
- Usługa Databricks zaleca zarządzanie wszystkimi skryptami inicjowania jako skryptami inicjowania o zakresie klastra. Zamiast używać globalnych skryptów inicjowania, zarządzaj inicjowaniem przy użyciu zasad klastra.
- Dowiedz się, które zasoby obliczeniowe mają dostęp do wykazu aparatu Unity.
Uwaga
Akademia usługi Databricks oferuje bezpłatny kurs dotyczący administrowania zasobami obliczeniowymi.
Zarządzanie funkcjami i ustawieniami obszarów roboczych
Administratorzy obszaru roboczego są odpowiedzialni za zarządzanie zachowaniem i ustawieniami wybranego obszaru roboczego. Aby uzyskać informacje na temat innych dostępnych ustawień obszaru roboczego, zobacz Zarządzanie ustawieniami obszaru roboczego.
Uwaga
Akademia usługi Databricks oferuje bezpłatny kurs dotyczący administrowania obszarami roboczymi i zabezpieczeń usługi Databricks.
Dodatkowe zasoby
Akademia usługi Databricks ma bezpłatną ścieżkę szkoleniową dla administratorów platformy. Przed uzyskaniem dostępu do kursu musisz najpierw zarejestrować się w akademii usługi Databricks, jeśli jeszcze tego nie zrobiono.
Możesz również zarejestrować się, aby wziąć udział w szkoleniu administrowania platformą na żywo.