Azure Databricks 系統管理簡介
本文提供 Azure Databricks 系統管理員許可權和責任的簡介。
必要的 Azure 系統管理員許可權
若要管理 Azure Databricks 服務,您必須是下列其中一項:
- 具有訂用帳戶層級 Azure 參與者 或 擁有者 角色的使用者。
- 具有下列權限清單之自訂角色定義的使用者:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
注意
如果訂用帳戶中已註冊這些提供者,則不需要 Microsoft.Compute/register/action、Microsoft.ManagedIdentity/register/action、Microsoft.Storage/register/action、 Microsoft.Network/register/action 許可權。 請參閱 註冊資源提供者。
Databricks 系統管理員類型
Azure Databricks 平台上有兩個主要層級的系統管理員權限:
帳戶管理員:管理 Azure Databricks 帳戶,包括啟用 Unity 目錄、使用者布建和帳戶層級身分識別管理。
工作區系統管理員:管理帳戶中個別工作區的工作區身分識別、存取控制、設定和功能。
此外,使用者可以指派這些特定功能的系統管理員角色,這些角色具有較限縮的權限集:
Marketplace 系統管理員:管理其帳戶的 Databricks Marketplace 提供者配置檔,包含建立和管理 Marketplace 列表。
中繼存放區系統管理員:管理 Unity 目錄中繼存放區內所有安全性實體對象的許可權和擁有權,例如誰可以建立目錄或查詢數據表。
計費管理員:檢視預算,並跨帳戶管理預算原則。
什麼是帳戶管理員?
帳戶管理員具有整個 Azure Databricks 帳戶的許可權。 身為帳戶管理員,您可以管理帳戶設定、設定使用者布建、建立 Unity 目錄啟用的中繼存放區,以及管理帳戶中所有工作區的身分識別。
帳戶管理員也可以將帳戶管理員和工作區管理員角色委派給任何其他使用者。
建立您的第一個帳戶管理員
注意
Azure Government 區域中無法使用帳戶控制台。
若要啟用帳戶控制台並建立您的第一個帳戶管理員,您必須洽詢具有Microsoft Entra ID 全域管理員角色的人員。 基於安全性考慮,只有具有 Microsoft Entra ID 全域管理員角色的人員具有指派第一個帳戶管理員角色的許可權。 完成這些步驟之後,您可以從 Azure Databricks 帳戶移除全域管理員。
全域管理員應該使用下列指示:
- 使用您的全域管理員認證登入您的 Azure 入口網站。
- 移至 [accounts.azuredatabricks.net ],並使用 Microsoft Entra ID 登入。 Azure Databricks 會自動為您建立帳戶管理員角色。
- 按兩下 [ 使用者管理]。
- 尋找並按下您要委派帳戶管理員角色的用戶名稱。
- 在 [ 角色] 索引標籤上,開啟 [ 帳戶管理員]。
一旦另一個使用者具有帳戶管理員角色,Microsoft Entra ID 全域管理員就不再需要參與其中。 新的帳戶管理員可以從 Azure Databricks 帳戶移除全域管理員,並指派其他用戶帳戶管理員角色。
存取帳戶主控台
帳戶主控台是帳戶管理員管理其 Azure Databricks 帳戶的位置。
帳戶管理員可以在 或 按兩下工作區 UI 頂端的工作區選取器,然後選取 [https://accounts.azuredatabricks.net] 來存取帳戶控制台。
不是帳戶管理員的帳戶使用者只能從 https://accounts.azuredatabricks.net 存取帳戶。 登入後,帳戶主控台會開啟並顯示其工作區清單。
注意
如果您位於多個Microsoft Entra ID 租使用者中,帳戶控制台 URL 會帶您前往預設租使用者中的 Azure Databricks 帳戶控制台。 若要存取不同租使用者的帳戶控制台,請從您慣用租使用者的工作區內存取帳戶控制台。
帳戶管理員責任
身為帳戶管理員,您的責任包括:
啟用 Unity 目錄
注意
如果您的 Azure Databricks 帳戶是在 2023 年 11 月 9 日之後建立的,您的工作區預設可能會啟用 Unity 目錄。 如需詳細資訊,請參閱 自動啟用 Unity 目錄。
需要帳戶管理員,才能在您的帳戶中啟用 Unity 目錄。 此程式牽涉到建立 Unity 目錄中繼存放區,而此中繼存放區只能由帳戶管理員完成。
如需啟用 Unity 目錄的指示,請參閱 開始使用 Unity 目錄。
管理身分識別
如果適用,帳戶管理員應將其身分驗證供應商與 Azure Databricks 同步。 請參閱 使用 SCIM 從 Microsoft Entra ID 同步使用者和群組。
如果您已在帳戶中至少啟用一個工作區的 Unity 目錄,則應該在帳戶控制台中管理身分識別(使用者、群組和服務主體)。 帳戶管理員可以授與許可權,並將工作區指派給這些身分。
如需詳細資訊,請參閱 管理使用者和群組。
使用系統數據表監視帳戶
系統資料表是 Azure Databricks 裝載的分析存放區,其中包含位於 system 目錄中的帳戶操作數據。 帳戶管理員可以讓系統數據表存取稽核記錄、可計費的使用記錄、譜系數據等等。 請參閱 使用系統資料表監視帳戶活動。
管理帳戶設定
帳戶管理員可以使用 [設定] 區段,從帳戶控制台管理其 Azure Databricks 帳戶的各個層面。 這包括跨帳戶啟用新功能,以及設定IP存取清單。
管理預覽
在工作區或組織的工作區中管理 Azure Databricks 預覽版。 預覽可在功能正式發行 (GA) 之前提供對功能的早期存取。 請參閱管理 Azure Databricks 預覽版。
什麼是工作區管理員?
工作區系統管理員在單一工作區內具有系統管理員許可權。 他們可以管理工作區層級身分識別、規範計算使用,以及啟用和委派角色型訪問控制(僅限進階方案 )。
存取系統管理員設定
工作區系統管理員是唯一有權存取工作區系統管理員設定頁面的使用者。 身為工作區系統管理員,您可以按兩下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定] 來存取系統管理員設定。
工作區管理員責任
身為工作區系統管理員,您的責任包括:
管理工作區中的身分識別
如果您的工作區已啟用 Unity 目錄,則應在帳戶層級新增身分識別。 工作區系統管理員接著可以將使用者、群組和服務主體指派給其工作區。 如需在工作區中新增和移除身分識別的詳細資訊,請參閱 管理使用者、服務主體和群組。
建立和管理計算資源
工作區管理員可以建立 SQL 倉儲(計算資源,可讓您針對 Databricks SQL 內的數據物件執行 SQL 命令),以及為其工作區使用者執行叢集。 如需建立 SQL 倉儲的指示,請參閱 建立 SQL 倉儲。
這也是工作區系統管理員的工作,可規範其工作區中的計算資源使用方式。 工作區系統管理員具有下列工具:
- 使用 叢集原則來限制工作區使用者的叢集建立選項,。
- Databricks 建議將所有 init 腳本管理為叢集範圍的 init 腳本。 不要使用 全域 init 腳本,而是使用叢集原則來管理 init 剪貼。
- 瞭解哪些計算資源 Unity 目錄存取。
注意
Databricks Academy 有計算 資源管理的免費課程。
管理工作區功能和設定
工作區系統管理員負責管理選取的工作區行為和設定。 如需其他可用工作區設定的資訊,請參閱 管理工作區設定。
注意
Databricks Academy 有 Databricks 工作區管理和安全性的免費課程。
其他資源
Databricks Academy 為平台系統管理員提供免費的自我步調學習路徑。 在您可以存取課程之前,如果您尚未註冊 Databricks Academy,您必須先註冊。
您也可以註冊以參加 即時平臺管理訓練。
您也可以在 Databricks Community取得許多問題的解答。