Einführung in die Azure Databricks-Verwaltung

  • Artikel

Dieser Artikel enthält eine Einführung in die Berechtigungen und Zuständigkeiten von Azure Databricks-Administratoren.

Erforderliche Azure-Administratorberechtigungen

Zum Verwalten Ihres Azure Databricks-Diensts benötigen Sie die folgenden Azure-Administratorberechtigungen:

  • Einen Benutzer, der in Azure über die Rolle Mitwirkender oder Besitzer verfügt und den Azure Databricks-Dienst, das Azure-Abonnement und die Konfigurationen der Diagnoseprotokollierung anzeigen und ändern kann.
  • Microsoft Entra ID-Administrator*innen mit der Berechtigung zum Aktivieren des bedingten Zugriffs auf Microsoft Entra ID (vormals Azure Active Directory).
  • Um Azure Databricks-Arbeitsbereiche erstellen zu können, muss eine der folgenden Voraussetzungen erfüllt sein:
    • Sie müssen ein Azure-Mitwirkender oder -Besitzer sein.
    • Der Ressourcenanbieter Microsoft.ManagedIdentity muss in Ihrem Abonnement registriert sein. Informationen dazu finden Sie unter Registrieren des Ressourcenanbieters in der Azure-Dokumentation.

Typen von Databricks-Administratoren

Auf der Azure Databricks-Plattform gibt es zwei Hauptstufen von Administratorrechten:

  • Kontoadministratoren: Verwalten das Azure Databricks-Konto, einschließlich Aktivierung von Unity Catalog, Benutzerbereitstellung und Identitätsverwaltung auf Kontoebene.

  • Arbeitsbereichsadministratoren: Verwalten Arbeitsbereichsidentitäten, Zugriffssteuerung, Einstellungen und Features für einzelne Arbeitsbereiche im Konto.

Darüber hinaus können Benutzern diese funktionsspezifischen Administratorrollen zugewiesen werden, die einen engeren Kreis von Privilegien haben:

  • Marketplace-Administratoren: Verwalten das Databricks Marketplace-Anbieterprofil ihres Kontos, einschließlich der Erstellung und Verwaltung von Marketplace-Angeboten.
  • Metastore-Administratoren: Verwalten die Privilegien und Eigentumsrechte für alle sicherheitsrelevanten Objekte innerhalb eines Unity Catalog Metaspeichers, z. B. wer Kataloge erstellen oder eine Tabelle abfragen darf.

Was sind Kontoadministratoren?

Kontoadministratoren verfügen über Berechtigungen für das gesamte Azure Databricks-Konto. Als Kontoadministrator können Sie Kontoeinstellungen verwalten, die Benutzerbereitstellung einrichten, Metastores für die Unity Catalog-Aktivierung erstellen und Identitäten für alle Arbeitsbereiche im Konto verwalten.

Kontoadministratoren können außerdem die Kontoadministrator- und Arbeitsbereichsadministratorrollen an jeden anderen Benutzer delegieren.

Einrichten des ersten Kontoadministrators

Hinweis

Sie müssen mindestens einen Azure Databricks-Arbeitsbereich in Ihrem Konto bereitgestellt haben, bevor Sie einen Kontoadministrator einrichten können.

Um die Kontokonsole zu aktivieren und Ihren ersten Kontoadministrator einzurichten, müssen Sie eine Person mit der Rolle „Globaler Microsoft Entra ID-Administrator“ (früher Azure Active Directory) hinzuziehen. Aus Sicherheitsgründen verfügen nur Benutzer mit der Rolle „Globaler Microsoft Entra ID-Administrator“ über die Berechtigungen zum Zuweisen der ersten Kontoadministratorrolle. Nach Abschluss dieser Schritte können Sie den globalen Administrator aus dem Azure Databricks-Konto entfernen.

Der globale Administrator sollte die folgenden Schritte ausführen:

  1. Melden Sie sich im Azure-Portal mit Ihren Anmeldeinformationen für den globalen Administrator an.
  2. Wechseln Sie zu accounts.azuredatabricks.net, und melden Sie sich mit Microsoft Entra ID an. Azure Databricks erstellt automatisch eine Kontoadministratorrolle für Sie.
  3. Klicken Sie auf Benutzerverwaltung.
  4. Suchen Sie den Benutzernamen des Benutzers, an den Sie die Kontoadministratorrolle delegieren möchten, und klicken Sie darauf.
  5. Aktivieren Sie auf der Registerkarte Rollen den Kontoadministrator.

Sobald ein anderer Benutzer über die Kontoadministratorrolle verfügt, muss der globale Microsoft Entra ID-Administrator nicht mehr einbezogen werden. Der neue Kontoadministrator kann den globalen Administrator aus dem Azure Databricks-Konto entfernen und anderen Benutzern die Kontoadministratorrolle zuweisen.

Zugreifen auf die Kontokonsole

Die Kontokonsole ist der Ort, an dem Kontoadministratoren ihr Azure Databricks-Konto verwalten.

Default account console view

Kontoadministratoren können auf die Kontokonsole unter https://accounts.azuredatabricks.net zugreifen oder die Kontokonsole aufrufen, indem sie oben auf der Benutzeroberfläche des Arbeitsbereichs auf ihre E-Mail-Adresse klicken und Konto verwalten auswählen.

Kontobenutzer, die keine Kontoadministratoren sind, können nur über https://accounts.azuredatabricks.net auf das Konto zugreifen. Nach der Anmeldung wird die Kontokonsole mit einer Liste ihrer Arbeitsbereiche geöffnet.

Hinweis

Wenn Sie sich in mehreren Microsoft Entra ID-Mandanten befinden, leitet Sie die Kontokonsolen-URL zu der Azure Databricks-Kontokonsole in Ihrem Standardmandanten. Um auf die Kontokonsole eines anderen Mandanten zuzugreifen, greifen Sie aus einem Arbeitsbereich in Ihrem bevorzugten Mandanten heraus auf die Kontokonsole zu.

Verantwortlichkeiten des Kontoadministrators

Als Kontoadministrator haben Sie folgende Aufgaben:

Aktivieren von Unity Catalog

Hinweis

Wenn Ihr Azure Databricks-Konto nach dem 9. November 2023 erstellt wurde, ist für Ihre Arbeitsbereiche möglicherweise standardmäßig der Unity-Katalog aktiviert. Weitere Informationen finden Sie unter Automatische Aktivierung von Unity Catalog.

Zum Aktivieren von Unity Catalog in Ihrem Konto ist ein Kontoadministrator erforderlich. Der Prozess umfasst das Erstellen eines Unity Catalog-Metastores, was nur von einem Kontoadministrator durchgeführt werden kann.

Anweisungen zum Aktivieren von Unity Catalog finden Sie unter Erste Schritte mit Unity Catalog.

Verwalten von Identitäten

Kontoadministratoren sollten ihren Identitätsanbieter ggf. mit Azure Databricks synchronisieren. Weitere Informationen finden Sie unter Synchronisieren von Benutzer*innen und Gruppen über Microsoft Entra ID.

Wenn Sie Unity Catalog für mindestens einen Arbeitsbereich in Ihrem Konto aktiviert haben, sollten Identitäten (Benutzer, Gruppen und Dienstprinzipale) in der Kontokonsole verwaltet werden. Kontoadministratoren können diesen Identitäten Berechtigungen erteilen und Arbeitsbereiche zuweisen.

Weitere Informationen finden Sie unter Verwalten von Benutzern und Gruppen.

Überwachen von Konten mit Systemtabellen

Systemtabellen sind ein von Azure Databricks gehosteter Analysespeicher der operativen Daten Ihres Kontos im system-Katalog. Kontoadmins können Systemtabellen den Zugriff auf Überwachungsprotokolle, abrechnungsfähige Nutzungsprotokolle, Herkunftsdaten und vieles mehr ermöglichen. Weitere Informationen finden Sie unter Überwachen des Verbrauchs mit Systemtabellen.

Verwalten von Kontoeinstellungen

Kontoadministratoren können bestimmte Einstellungen für ihr Azure Databricks-Konto in der Kontokonsole im Abschnitt Einstellungen verwalten. Dazu gehören das Aktivieren neuer Features für das gesamte Konto und das Konfigurieren von IP-Zugriffslisten.

Was sind Arbeitsbereichsadministratoren?

Arbeitsbereichsadministratoren verfügen über Administratorrechte innerhalb eines einzelnen Arbeitsbereichs. Sie können Identitäten auf Arbeitsbereichsebene verwalten, die Computenutzung regeln und die rollenbasierte Zugriffssteuerung aktivieren und delegieren (nur Premium-Plan).

Zugreifen auf die Administratoreinstellungen

Arbeitsbereichsadministratoren sind die einzigen Benutzer, die Zugriff auf die Seite mit den Administratoreinstellungen des Arbeitsbereichs haben. Als Arbeitsbereichsadministrator können Sie auf Administratoreinstellungen zugreifen, indem Sie in der oberen Leiste des Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen klicken und Administratoreinstellungen auswählen.

Default admin settings view

Verantwortlichkeiten des Arbeitsbereichsadministrators

Als Arbeitsbereichsadministrator haben Sie folgende Aufgaben:

Verwalten von Identitäten in Ihrem Arbeitsbereich

Wennder Arbeitsbereich für Unity Catalog aktiviert ist, sollten Identitäten auf Kontoebene hinzugefügt werden. Arbeitsbereichsadministratoren können ihrem Arbeitsbereich Benutzer, Gruppen und Dienstprinzipale zuweisen. Weitere Informationen zum Hinzufügen und Entfernen von Identitäten in einem Arbeitsbereich finden Sie unter Verwalten von Benutzern, Dienstprinzipalen und Gruppen.

Hinweis

Databricks Academy bietet einen kostenlosen Kurs zur Identitätsverwaltung. Bevor Sie auf den Kurs zugreifen können, müssen Sie sich zunächst für die Databricks Academy registrieren, falls Sie das noch nicht getan haben.

Erstellen und Verwalten von Computeressourcen

Arbeitsbereichsadministratoren können SQL-Warehouses (eine Computeressource, mit der Sie SQL-Befehle für Datenobjekte in Databricks SQL ausführen können) und Cluster für ihre Arbeitsbereichsbenutzer erstellen. Anweisungen zum Erstellen von SQL-Warehouses finden Sie unter Erstellen von SQL-Warehouses.

Außerdem ist es Aufgabe des Arbeitsbereichsadministrators zu regeln, wie Computeressourcen in seinem Arbeitsbereich verwendet werden. Arbeitsbereichsadministratoren verfügen über die folgenden Tools:

  • Einschränken der Clustererstellungsoptionen von Arbeitsbereichsbenutzern mit Clusterrichtlinien.
    • Databricks empfiehlt, alle Initialisierungsskripts als clusterspezifische Initialisierungsskripts zu verwalten. Anstatt globale Initialisierungsskripts zu verwenden, verwalten Sie Initialisierungsskripts mithilfe von Clusterrichtlinien.
  • Ermitteln, welche Computeressourcen über Zugriff auf Unity Catalog verfügen.

Hinweis

Databricks Academy bietet einen kostenlosen Kurs zur Verwaltung von Computeressourcen.

Verwalten von Arbeitsbereichsfeatures und -einstellungen

Arbeitsbereichsadministrator*innen sind für die Verwaltung des Verhaltens und der Einstellungen ausgewählter Arbeitsbereiche verantwortlich. Informationen zu anderen verfügbaren Arbeitsbereichseinstellungen finden Sie unter Verwalten von Arbeitsbereichseinstellungen.

Hinweis

Databricks Academy bietet einen kostenlosen Kurs zur Arbeitsbereichsverwaltung und Sicherheit für Databricks.

Zusätzliche Ressourcen

Die Databricks Academy bietet einen kostenlosen Lernpfad zum Selbststudium für Plattformadministratoren. Bevor Sie auf den Kurs zugreifen können, müssen Sie sich zunächst für die Databricks Academy registrieren, falls Sie das noch nicht getan haben.

Sie können sich auch für die Teilnahme an einer Live-Schulung zur Plattformverwaltung anmelden.