Az Azure Databricks felügyeleti bemutatása

Ez a cikk bemutatja az Azure Databricks rendszergazdai jogosultságait és feladatait.

Szükséges Azure-rendszergazdai engedélyek

Az Azure Databricks szolgáltatás kezeléséhez a következő Azure-rendszergazdai engedélyekre van szüksége:

• Egy Azure közreműködői vagy tulajdonosi szerepkörrel rendelkező felhasználóra, aki megtekintheti és módosíthatja az Azure Databricks-szolgáltatást, az Azure-előfizetést és a diagnosztikai naplózási konfigurációkat.
• A Microsoft Entra ID rendszergazdái jogosultak a Microsoft Entra ID (korábbi nevén Azure Active Directory) feltételes hozzáférés engedélyezésére.
• Azure Databricks-munkaterületek létrehozásához meg kell felelnie az alábbi követelmények egyikének:
  • Azure-közreműködőnek vagy tulajdonosnak kell lennie.
  • Az Microsoft.ManagedIdentity erőforrás-szolgáltatónak regisztrálnia kell az előfizetésében. Lásd: Erőforrás-szolgáltató regisztrálása az Azure dokumentációjában.

Databricks-rendszergazdai típusok

A rendszergazdai jogosultságok két fő szintje érhető el az Azure Databricks platformon:

• Fiókgazdák: Az Azure Databricks-fiók kezelése, beleértve a Unity Catalog engedélyezését, a felhasználók kiépítését és a fiókszintű identitáskezelést.

• Munkaterület-rendszergazdák: Munkaterületi identitások, hozzáférés-vezérlés, beállítások és funkciók kezelése a fiókban lévő egyes munkaterületekhez.

Emellett a felhasználók hozzárendelhetők ezekhez a funkcióspecifikus rendszergazdai szerepkörökhöz, amelyek a jogosultságok szűkebb halmazával rendelkeznek:

• Marketplace-rendszergazdák: Kezelheti fiókjuk Databricks Marketplace-szolgáltatói profilját, beleértve a Marketplace-listák létrehozását és kezelését.
• Metaadattár-rendszergazdák: A Unity Catalog metaadattárában lévő összes biztonságos objektum jogosultságainak és tulajdonjogának kezelése, például ki hozhat létre katalógusokat vagy kérdezhet le egy táblát.

Mik azok a fiókadminisztrátorok?

A fiókgazdák a teljes Azure Databricks-fiókra vonatkozó jogosultságokkal rendelkeznek. Fiókadminisztrátorként kezelheti a fiókbeállításokat, beállíthatja a felhasználók kiépítését, metaadattárakat hozhat létre a Unity Catalog engedélyezéséhez, és kezelheti a fiók összes munkaterületén található identitásokat.

A fiókadminisztrátorok a fiókadminisztrátori és munkaterület-rendszergazdai szerepköröket bármely más felhasználónak delegálhatják.

Az első fiókadminisztrátor létrehozása

Feljegyzés

Fiókadminisztrátor létrehozása előtt legalább egy Azure Databricks-munkaterületet üzembe kell helyeznie a fiókjában.

A fiókkonzol engedélyezéséhez és az első fiókadminisztrátor létrehozásához fel kell vennie a kapcsolatot valakivel, aki rendelkezik a Microsoft Entra ID (korábbi nevén Azure Active Directory) globális Rendszergazda istrator szerepkörével. Biztonsági okokból csak a Microsoft Entra ID Global Rendszergazda istrator szerepkörrel rendelkező személy rendelkezik engedéllyel az első fiókadminisztrátori szerepkör hozzárendeléséhez. A lépések elvégzése után eltávolíthatja a globális Rendszergazda istratort az Azure Databricks-fiókból.

A globális Rendszergazda istratornak a következő utasításokat kell használnia:

1. Jelentkezzen be az Azure Portalra a globális Rendszergazda hitelesítő adataival.
2. Nyissa meg a accounts.azuredatabricks.net , és jelentkezzen be a Microsoft Entra-azonosítóval. Az Azure Databricks automatikusan létrehoz egy fiókgazdai szerepkört.
3. Kattintson a Felhasználókezelés elemre.
4. Keresse meg és kattintson annak a felhasználónak a felhasználónevére, akire delegálni szeretné a fiókadminisztrátori szerepkört.
5. A Szerepkörök lapon kapcsolja be a Fiókadminisztrátor funkciót.

Ha egy másik felhasználó rendelkezik a fiókadminisztrátori szerepkörével, a Microsoft Entra ID Global Rendszergazda istratort már nem kell bevonni. Az új fiókadminisztrátor eltávolíthatja a globális Rendszergazda istratort az Azure Databricks-fiókból, és hozzárendelheti más felhasználókhoz a fiókadminisztrátori szerepkört.

Hozzáférés a fiókkonzolhoz

A fiókkonzolon a fiókadminisztrátor kezeli az Azure Databricks-fiókját.

A fiókgazdák elérhetik a fiókkonzolt https://accounts.azuredatabricks.net a munkaterület felhasználói felületének tetején található e-mail-címükre kattintva és a Fiók kezelése elemre kattintva.

Azok a fiókfelhasználók, akik nem fiókadminisztrátorok, csak a https://accounts.azuredatabricks.net oldalon férhetnek hozzá a fiókhoz. Bejelentkezéskor a fiókkonzol megnyílik a munkaterületek listájához.

Feljegyzés

Ha több Microsoft Entra-azonosítójú bérlőben van, a fiókkonzol URL-címe az alapértelmezett bérlő Azure Databricks-fiókkonzoljára irányítja. Egy másik bérlő fiókkonzoljának eléréséhez lépjen a fiókkonzolhoz az előnyben részesített bérlő egy munkaterületén belülről.

Fiókadminisztrátori feladatok

Fiókadminisztrátorként feladatai a következők:

• A Unity-katalógus engedélyezése
• Identitások kezelése
• Fiókhasználati naplók figyelése
• Fiókszintű beállítások kezelése

Unity-katalógus engedélyezése

Feljegyzés

Ha az Azure Databricks-fiókját 2023. november 9. után hozták létre, a munkaterületeken alapértelmezés szerint engedélyezve lehet a Unity Catalog. További információ: A Unity Katalógus automatikus engedélyezése.

Fiókadminisztrátorra van szükség a Unity Catalog fiókban való engedélyezéséhez. A folyamat magában foglalja egy Unity Catalog-metaadattár létrehozását, amelyet csak egy fiókadminisztrátor végezhet el.

A Unity Catalog engedélyezésével kapcsolatos utasításokért tekintse meg a Unity Catalog használatának első lépéseit.

Identitások kezelése

A fiókadminisztrátornak szükség esetén szinkronizálnia kell identitásszolgáltatóját az Azure Databricks szolgáltatással. Lásd: Felhasználók és csoportok szinkronizálása a Microsoft Entra-azonosítóból.

Ha engedélyezte a Unity-katalógust legalább egy munkaterületen a fiókjában, az identitásokat (felhasználókat, csoportokat és szolgáltatásneveket) a fiókkonzolon kell felügyelni. A fiókgazdák engedélyeket adhatnak, és munkaterületeket rendelhetnek ezekhez az identitásokhoz.

További információ: Felhasználók és csoportok kezelése.

Fiók figyelése rendszertáblákkal

A rendszertáblák a katalógusban található fiók működési adatainak Azure Databricks által üzemeltetett elemzési system tárai. A fiókadminisztrátorokkal a rendszertáblák hozzáférhetnek az auditnaplókhoz, a számlázható használati naplókhoz, az életútadatokhoz és egyebekhez. Lásd: Használat monitorozása rendszertáblákkal.

Fiókbeállítások kezelése

A fiókadminisztrátor az Azure Databricks-fiók aspektusait a fiókkonzolról kezelheti a Gépház szakasz használatával. Ez magában foglalja az új funkciók engedélyezését a fiókon belül, valamint az IP-hozzáférési listák konfigurálását.

Mik azok a munkaterület-rendszergazdák?

A munkaterület-rendszergazdák rendszergazdai jogosultságokkal rendelkeznek egyetlen munkaterületen belül. Kezelhetik a munkaterületszintű identitásokat, szabályozhatják a számítási használatot, és engedélyezhetik és delegálhatják a szerepköralapú hozzáférés-vezérlést (csak Prémium csomag esetén).

A rendszergazdai beállítások elérése

A munkaterület rendszergazdái az egyetlen felhasználók, akik hozzáférnek a munkaterület rendszergazdai beállításainak lapjához. Munkaterület-rendszergazdaként úgy érheti el a rendszergazdai beállításokat, hogy az Azure Databricks-munkaterület felső sávjának felhasználónevére kattint, és kiválasztja a Rendszergazda Gépház.

Munkaterület rendszergazdai feladatai

Munkaterület-rendszergazdaként a feladatai a következők:

• Identitások kezelése a munkaterületen
• Számítási erőforrások létrehozása és kezelése
• Munkaterület funkcióinak és beállításainak kezelése

Identitások kezelése a munkaterületen

Ha a munkaterület engedélyezve van a Unity Cataloghoz, az identitásokat a fiók szintjén kell hozzáadni. A munkaterület rendszergazdái ezután felhasználókat, csoportokat és szolgáltatásneveket rendelhetnek a munkaterülethez. Az identitások munkaterületen való hozzáadásáról és eltávolításáról további információt a Felhasználók, szolgáltatásnevek és csoportok kezelése című témakörben talál.

Feljegyzés

A Databricks Academy ingyenes kurzust biztosít az Identitás Rendszergazda istration szolgáltatásról. A kurzus elérése előtt regisztrálnia kell a Databricks Akadémiára , ha még nem tette meg.

Számítási erőforrások létrehozása és kezelése

A munkaterületgazdák sql-raktárakat (számítási erőforrást) hozhatnak létre, amelyekkel SQL-parancsokat futtathatnak a Databricks SQL-ben lévő adatobjektumokon, valamint fürtöket a munkaterület felhasználói számára. Az SQL-raktárak létrehozásával kapcsolatos utasításokért lásd : SQL Warehouse létrehozása.

Emellett a munkaterület rendszergazdájának feladata a számítási erőforrások munkaterületen való használatának szabályozása. A munkaterület rendszergazdái a következő eszközökkel rendelkeznek:

• A munkaterület felhasználói fürtlétrehozási beállításainak korlátozása fürtszabályzatokkal.
  • A Databricks azt javasolja, hogy az összes init-szkriptet fürthatókörű init-szkriptekként kezelje. Globális init-szkriptek használata helyett fürtszabályzatokkal kezelheti az init scipteket.
• Megtudhatja, hogy mely számítási erőforrások rendelkeznek Unity Catalog-hozzáféréssel.

Feljegyzés

A Databricks Academy ingyenes tanfolyamot biztosít a Számítási erőforrások Rendszergazda istration szolgáltatásról.

Munkaterületek funkcióinak és beállításainak kezelése

A munkaterület rendszergazdái felelősek a kiválasztott munkaterület viselkedésének és beállításainak kezeléséért. Az egyéb elérhető munkaterület-beállításokról további információt a Munkaterület beállításainak kezelése című témakörben talál.

Feljegyzés

A Databricks Academy ingyenes tanfolyamot biztosít a Databricks Workspace Rendszergazda istration and Security szolgáltatásról.

További erőforrások

A Databricks Academy ingyenes, saját tempójú képzési tervvel rendelkezik a platformgazdák számára. A kurzus elérése előtt regisztrálnia kell a Databricks Akadémiára , ha még nem tette meg.

Regisztrálhat egy élő platformfelügyeleti képzésre is.