Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены общие сведения о привилегиях и обязанностях администратора Azure Databricks.
Обязательные разрешения администратора Azure
Чтобы создать рабочую область Azure Databricks или войти в рабочую область Azure Databricks в качестве администратора рабочей области, необходимо выполнить одно из следующих действий:
- Пользователь с ролью участника Azure или ролью владельца на уровне подписки.
- Пользователь с пользовательским определением роли, имеющий следующий список разрешений:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
После предоставления роли администратора рабочей области в Azure Databricks указанные выше роли Azure больше не требуются. Вы сохраняете доступ администратора рабочей области, даже если эти роли Azure удаляются. Администраторы рабочей области также могут предоставлять дополнительным пользователям роль администратора рабочей области в Azure Databricks независимо от ролей Azure этих пользователей.
Примечание.
Microsoft.Compute/register/action, Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/register/action разрешения не требуются, если эти поставщики уже зарегистрированы в подписке. См. раздел "Регистрация поставщика ресурсов".
Типы администраторов Databricks
На платформе Azure Databricks доступны два основных уровня привилегий администратора:
- администраторы учетных записей: Управляют учетной записью Azure Databricks, включая включение каталога Unity, предоставление пользователей и управление идентификацией на уровне учетной записи.
- Администраторы рабочей области: управление удостоверениями рабочей области, контролем доступа, параметрами и функциями для отдельных рабочих областей в учетной записи.
Кроме того, пользователям могут быть назначены эти роли администратора для конкретных функций, которые имеют более узкие наборы привилегий:
- Администраторы Marketplace: Управляют профилем поставщика Databricks Marketplace в своей учетной записи, включая создание и управление списками Marketplace.
- администраторы хранилища метаданных: управление привилегиями и правами владения для всех объектов, к которым могут быть установлены права доступа, в хранилище метаданных каталога Unity, например, кто может создавать каталоги или выполнять запросы к таблице.
- администраторы выставления счетов. Просмотр бюджетов и управление бессерверными политиками бюджета в учетной записи.
Что такое администраторы учетных записей?
Администраторы учетных записей имеют права доступа ко всей учетной записи Azure Databricks. Как администратор учетной записи, вы можете управлять параметрами учетной записи, настраивать подготовку пользователей, создавать хранилища метаданных для включения каталога Unity и управлять удостоверениями во всех рабочих пространствах учетной записи.
Администраторы учетных записей также могут делегировать роли администратора учетной записи и администратора рабочей области любому другому пользователю.
Создание вашего первого администратора учетной записи
Примечание.
Консоль учетной записи недоступна в государственных регионах Azure.
Чтобы включить консоль учетной записи и установить первого администратора учетной записи, вам потребуется привлечь пользователя с ролью глобального администратора Microsoft Entra ID. В целях безопасности только пользователь с ролью глобального администратора Microsoft Entra ID имеет разрешение назначать первую роль администратором учетной записи. Выполнив эти действия, вы можете удалить глобального администратора из учетной записи Azure Databricks.
Глобальный администратор должен использовать следующие инструкции:
- Войдите на портал Azure с помощью учетных данных глобального администратора.
- Перейдите к accounts.azuredatabricks.net и войдите с помощью идентификатора Microsoft Entra. Azure Databricks автоматически создаст вам роль администратора учетной записи.
- Щелкните " Управление пользователями".
- Найдите и щелкните имя пользователя, которому нужно делегировать роль администратора учетной записи.
- На вкладке Роли включите параметр Администратор учетной записи.
После того как другой пользователь имеет роль администратора учетной записи, глобальный администратор Microsoft Entra ID больше не должен участвовать. Новый администратор учетной записи может удалить глобального администратора из учетной записи Azure Databricks и назначить других пользователей роль администратора учетной записи.
Доступ к консоли учетной записи
Консоль учетной записи — это то, где администраторы учетных записей управляют учетной записью Azure Databricks.
Администраторы учетных записей могут получить доступ к консоли учетной записи, перейдя по ссылке https://accounts.azuredatabricks.net, или нажать на селектор области работы в верхней части интерфейса и выбрать Управление учетной записью.
Пользователи учетных записей, которые не являются администраторами учетных записей, могут получить доступ к учетной записи только по ссылке https://accounts.azuredatabricks.net. После входа в систему консоль учетной записи откроется со списком их рабочих областей.
Примечание.
Если вы находитесь в нескольких клиентах Microsoft Entra ID, URL-адрес консоли учетной записи приведет вас к консоли учетной записи Azure Databricks в вашем клиенте по умолчанию. Чтобы получить доступ к консоли учетной записи другого клиента, перейдите к консоли учетной записи из рабочей области в предпочтительном клиенте.
Обязанности администратора учетной записи
В качестве администратора учетной записи ваши обязанности включают:
- Включение каталога Unity
- Управление идентификациями
- Мониторинг журналов использования учетной записи
- Управление параметрами уровня учетной записи
- Управление предварительными версиями Databricks
Активировать Unity Catalog
Примечание.
Если учетная запись Azure Databricks была создана после 9 ноября 2023 г., ваши рабочие области могут включать каталог Unity по умолчанию. Дополнительные сведения см. в разделе Автоматическое включениекаталога Unity.
Администратор учетной записи необходим для включения каталога Unity в учетной записи. Процесс включает создание хранилища метаданных каталога Unity, которое может выполняться только администратором учетной записи.
Инструкции по включению Unity Catalog см. в разделе Начало работы с Unity Catalog.
Управление идентичностями
Администраторы учетных записей должны синхронизировать поставщика удостоверений с Azure Databricks, если это применимо. См. раздел Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM.
Если вы включили каталог Unity по крайней мере для одной рабочей области в вашей учетной записи, параметры идентификации (пользователи, группы и учетные записи служб) должны управляться в консоли учетной записи. Администраторы учетных записей могут предоставлять разрешения и назначать рабочие области этим идентичностям.
Дополнительные сведения см. в разделе Управление пользователями и группами.
Мониторинг учетной записи с помощью системных таблиц
Системные таблицы — это аналитическое хранилище данных вашей учетной записи, размещенное в Azure Databricks, в каталоге system. Администраторы учетных записей могут включать системные таблицы для доступа к журналам аудита, журналам платного использования, данным происхождения и т. д. См. статью Мониторинг действий учетной записи с помощью системных таблиц.
Управление параметрами учетной записи
Администраторы учетных записей могут управлять аспектами учетной записи Azure Databricks из консоли учетной записи с помощью раздела "Параметры ". Это включает включение новых функций в учетной записи и настройку списков доступа к IP-адресам.
Управление предварительными версиями
Управление предварительными версиями Azure Databricks в рабочей области или рабочих областях организации. Предварительные версии предоставляют ранний доступ к функциям, прежде чем они будут выпущены для общедоступной доступности. См. статью "Управление предварительными версиями Azure Databricks".
Что такое администраторы рабочей области?
Администраторы рабочей области имеют права администратора в одной рабочей области. Они могут управлять идентификацией на уровне рабочей области, регулировать использование вычислительных мощностей и включать и делегировать управление доступом на основе ролей (только для плана «Премиум»).
Доступ к параметрам администратора
Администраторы рабочей области — это единственные пользователи, имеющие доступ к странице параметров администратора рабочей области. Администратор рабочей области может получить доступ к параметрам администратора, щелкнув имя пользователя в верхней строке рабочей области Azure Databricks и выбрав "Параметры".
Обязанности администратора рабочей области
В качестве администратора рабочей области ваши обязанности включают:
- Управление удостоверениями в рабочей области
- Создание вычислительных ресурсов и управление ими
- Управление функциями и параметрами рабочей области
Управление удостоверениями в рабочей области
Если рабочая область поддерживает каталог Unity, идентификаторы должны быть добавлены на уровне учетной записи. Затем администраторы рабочей области могут назначать пользователей, группы и служебные учётные записи на свою рабочую область. Дополнительные сведения о добавлении и удалении учетных записей в рабочем пространстве см. в разделе "Управление пользователями, уполномоченными службами и группами".
Примечание.
Академия Databricks предлагает бесплатный курс по управлению идентификацией. Прежде чем получить доступ к курсу, сначала необходимо зарегистрировать в Databricks Academy , если вы еще не сделали этого.
Создание вычислительных ресурсов и управление ими
Администраторы рабочей области могут создавать хранилища SQL (вычислительный ресурс, который позволяет выполнять команды SQL на объектах данных в Databricks SQL) и кластерах для пользователей рабочей области. Инструкции по созданию хранилищ SQL см. в статье "Создание хранилища SQL".
Это также задание администратора рабочей области для регулирования использования вычислительных ресурсов в рабочей области. Администраторы рабочей области имеют следующие средства:
- Ограничьте параметры создания кластеров для пользователей рабочей области с помощью политик кластера .
- Databricks рекомендует управлять всеми скриптами инициализации как скриптами, относящимися к кластеру. Вместо использования глобальных скриптов инициализации управляйте скриптами инициализации с помощью политик кластера.
- Узнайте, какие вычислительные ресурсы имеют доступ к каталогу Unity.
Примечание.
Databricks Academy имеет бесплатный курс по администрированию вычислительных ресурсов.
Управление функциями и параметрами рабочих областей
Администраторы рабочей области отвечают за управление поведением и параметрами рабочей области. Дополнительные сведения о других доступных параметрах рабочей области см. в разделе "Управление параметрами рабочей области".
Примечание.
Databricks Academy имеет бесплатный курс в Databricks Workspace Administration and Security.
Дополнительные ресурсы
Databricks Academy имеет бесплатный самостоятельный путь обучения для администраторов платформы. Прежде чем получить доступ к курсу, сначала необходимо зарегистрировать в Databricks Academy , если вы еще не сделали этого.
Вы также можете зарегистрироваться для участия в обучении администрирования динамической платформы.
Вы также можете получить ответы на многие вопросы в сообществе Databricks.