Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены общие сведения о привилегиях и обязанностях администратора Azure Databricks.
Обязательные разрешения администратора Azure
Чтобы создать рабочую область Azure Databricks или войти в рабочую область Azure Databricks в качестве администратора рабочей области, необходимо выполнить одно из следующих действий:
- Пользователь с ролью участника Azure или ролью владельца на уровне подписки.
- Пользователь с пользовательским определением роли, имеющий следующий список разрешений:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
После предоставления роли администратора рабочей области в Azure Databricks указанные выше роли Azure больше не требуются. Вы сохраняете доступ администратора рабочей области, даже если эти роли Azure удаляются. Администраторы рабочей области также могут предоставлять дополнительным пользователям роль администратора рабочей области в Azure Databricks независимо от ролей Azure этих пользователей.
Примечание.
Microsoft.Compute/register/action, Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/register/action разрешения не требуются, если эти поставщики уже зарегистрированы в подписке. См. раздел "Регистрация поставщика ресурсов".
Типы администраторов Databricks
На платформе Azure Databricks доступны два основных уровня привилегий администратора:
- Администраторы учетных записей: Управляют учетной записью Azure Databricks, включая активацию каталога Unity, администрирование пользователей и управление удостоверениями на уровне учетной записи.
- Администраторы рабочего пространства: управление идентификацией рабочего пространства, контролем доступа, настройками и функциями для отдельных рабочих пространств в учетной записи.
Кроме того, пользователям могут быть назначены эти роли администратора для конкретных функций, которые имеют более узкие наборы привилегий:
- Администраторы рынка: управляют профилем поставщика своего аккаунта на Databricks Marketplace, включая создание и управление списками рынка.
- администраторы хранилища метаданных: управление привилегиями и правами владения для всех объектов, к которым могут быть установлены права доступа, в хранилище метаданных каталога Unity, например, кто может создавать каталоги или выполнять запросы к таблице.
- администраторы выставления счетов. Просмотр бюджетов и управление бессерверными политиками бюджета в учетной записи.
Что такое администраторы учетных записей?
Администраторы учетных записей имеют права доступа ко всей учетной записи Azure Databricks. Как администратор учетной записи, вы можете управлять параметрами учетной записи, настраивать подготовку пользователей, создавать хранилища метаданных для включения каталога Unity и управлять удостоверениями во всех рабочих пространствах учетной записи.
Администраторы учетных записей также могут делегировать роли администратора учетной записи и администратора рабочей области любому другому пользователю.
Создание первого администратора учетной записи
Примечание.
Консоль учетной записи недоступна в регионах Azure Government.
Для безопасности и целостности организации Databricks требует, чтобы глобальный администратор Microsoft Entra ID назначил первую роль администратора вашей учетной записи. Это гарантирует, что роль администратора с высоким уровнем привилегий для конкретной службы не создается без надзора от администратора с более высоким уровнем привилегий.
Выполнив эти действия, вы можете удалить глобального администратора из учетной записи Azure Databricks.
Глобальный администратор должен использовать следующие инструкции:
- Войдите на портал Azure с помощью учетных данных глобального администратора.
- Перейдите к accounts.azuredatabricks.net и войдите с помощью идентификатора Microsoft Entra. Azure Databricks автоматически создаст вам роль администратора учетной записи.
- Щелкните " Управление пользователями".
- Найдите и щелкните имя пользователя, которому нужно делегировать роль администратора учетной записи.
- На вкладке Роли включите параметр Администратор учетной записи.
После того как другой пользователь имеет роль администратора учетной записи, глобальный администратор Microsoft Entra ID больше не должен участвовать. Новый администратор учетной записи может удалить глобального администратора из учетной записи Azure Databricks и назначить других пользователей роль администратора учетной записи.
Доступ к консоли учетной записи
Консоль учетной записи — это то, где администраторы учетных записей управляют учетной записью Azure Databricks.
Администраторы учетных записей могут получить доступ к консоли учетной записи на https://accounts.azuredatabricks.net или выбрав "Управление учетной записью" в селекторе рабочих областей в верхней части интерфейса рабочей области.
Пользователи учетных записей, которые не являются администраторами учетных записей, могут получить доступ к учетной записи только по ссылке https://accounts.azuredatabricks.net. После входа в систему консоль учетной записи откроется со списком их рабочих областей.
Примечание.
Если вы находитесь в нескольких клиентах идентификатора Microsoft Entra ID, URL-адрес консоли учетной записи направит вас в консоль учетной записи Azure Databricks в вашем клиенте по умолчанию. Чтобы получить доступ к консоли учетной записи другого клиента, перейдите к консоли учетной записи из рабочей области в предпочтительном клиенте.
Обязанности администратора учетной записи
В качестве администратора учетной записи ваши обязанности включают:
- Включение каталога Unity
- Управление идентичностями
- Мониторинг журналов использования учетной записи
- Управление параметрами уровня учетной записи
- Управление предварительными версиями Databricks
Активировать Unity Catalog
Примечание.
Если учетная запись Azure Databricks была создана после 9 ноября 2023 г., ваши рабочие области могут включать каталог Unity по умолчанию. Дополнительные сведения см. в разделе Автоматическое включениекаталога Unity.
Администратор учетной записи необходим для включения каталога Unity в учетной записи. Процесс включает создание хранилища метаданных каталога Unity, которое может выполняться только администратором учетной записи.
Инструкции по включению Unity Catalog см. в разделе Начало работы с Unity Catalog.
Управление удостоверениями
Администраторы учетных записей должны синхронизировать поставщика удостоверений с Azure Databricks, если это применимо. См. раздел Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM.
Если вы включили Unity Catalog хотя бы для одной рабочей области в учетной записи, управление удостоверениями (пользователи, группы и сервисные учетные записи) следует осуществлять в консоли учетной записи. Администраторы учетных записей могут предоставлять разрешения и назначать рабочие области этим идентичностям.
Дополнительные сведения см. в разделе Управление пользователями и группами.
Мониторинг учетной записи с помощью системных таблиц
Системные таблицы — это аналитическое хранилище, размещенное в Azure Databricks, в котором находятся данные вашей учетной записи в каталоге system . Администраторы учетных записей могут включать системные таблицы для доступа к журналам аудита, журналам платного использования, данным происхождения и т. д. См. статью Мониторинг действий учетной записи с помощью системных таблиц.
Управление параметрами учетной записи
Администраторы учетных записей могут управлять аспектами учетной записи Azure Databricks из консоли учетной записи с помощью раздела "Параметры ". Это включает включение новых функций в учетной записи и настройку списков доступа к IP-адресам.
Управление предварительными версиями
Управление предварительными версиями Azure Databricks в рабочей области или рабочих областях организации. Предварительные версии предоставляют ранний доступ к функциям, прежде чем они будут выпущены для общедоступной доступности. См. статью "Управление предварительными версиями Azure Databricks".
Что такое администраторы рабочей области?
Администраторы рабочей области имеют права администратора в одной рабочей области. Они могут управлять идентификациями на уровне рабочей области, регулировать использование вычислительных мощностей и включать и делегировать контроль управления на основе ролей (только в плане "Премиум").
Доступ к параметрам администратора
Администраторы рабочей области — это единственные пользователи, имеющие доступ к странице параметров администратора рабочей области. Администратор рабочей области может получить доступ к параметрам администратора, щелкнув имя пользователя в верхней строке рабочей области Azure Databricks и выбрав "Параметры".
Обязанности администратора рабочей области
В качестве администратора рабочей области ваши обязанности включают:
- Управление идентичностями в рабочей области
- Создание вычислительных ресурсов и управление ими
- Управление функциями и параметрами рабочей области
Управление идентификацией в рабочем пространстве
Если рабочая область поддерживает каталог Unity, идентификаторы должны быть добавлены на уровне учетной записи. Затем администраторы рабочей области могут назначать пользователям, группам и субъектам-службам свою рабочую область. Дополнительные сведения о добавлении и удалении идентификаторов в рабочей области см. в разделе "Управление пользователями, учетными данными служб и группами".
Примечание.
Databricks Academy имеет бесплатный курс по управлению идентификацией. Прежде чем получить доступ к курсу, сначала необходимо зарегистрировать в Databricks Academy , если вы еще не сделали этого.
Создание вычислительных ресурсов и управление ими
Администраторы рабочей области могут создавать хранилища SQL (вычислительный ресурс, который позволяет выполнять команды SQL на объектах данных в Databricks SQL) и кластерах для пользователей рабочей области. Инструкции по созданию хранилищ SQL см. в статье "Создание хранилища SQL".
Это также задание администратора рабочей области для регулирования использования вычислительных ресурсов в рабочей области. Администраторы рабочей области имеют следующие средства:
- Ограничьте параметры создания кластеров для пользователей рабочей области с помощью политик кластеров.
- Databricks рекомендует управлять всеми скриптами инициализации как скриптами с областью действия на уровне кластера. Вместо использования глобальных скриптов инициализации управляйте скриптами инициализации с помощью политик кластера.
- Узнайте, какие вычислительные ресурсы имеют доступ к каталогу Unity.
Примечание.
Databricks Academy имеет бесплатный курс по администрированию вычислительных ресурсов.
Управление функциями и параметрами рабочих областей
Администраторы рабочей области отвечают за управление поведением и параметрами рабочей области. Дополнительные сведения о других доступных параметрах рабочей области см. в разделе "Управление параметрами рабочей области".
Примечание.
Databricks Academy имеет бесплатный курс в Databricks Workspace Administration and Security.
Дополнительные ресурсы
Databricks Academy имеет бесплатный самостоятельный путь обучения для администраторов платформы. Прежде чем получить доступ к курсу, сначала необходимо зарегистрировать в Databricks Academy , если вы еще не сделали этого.
Вы также можете зарегистрироваться для участия в обучении администрирования динамической платформы.
Вы также можете получить ответы на многие вопросы в сообществе Databricks.