Введение в администрирование Azure Databricks

  • Статья

В этой статье приведены общие сведения о привилегиях и обязанностях администратора Azure Databricks.

Обязательные разрешения администратора Azure

Чтобы управлять службой Azure Databricks, вам потребуются следующие разрешения администратора Azure:

  • Пользователь с ролью участника Azure или владельца, который может просматривать и изменять конфигурации службы Azure Databricks, подписки Azure и журналов диагностики.
  • Администраторы идентификатора Microsoft Entra с разрешением на условный доступ Microsoft Entra ID (прежнее название — Azure Active Directory).
  • Чтобы создать рабочие области Azure Databricks, необходимо выполнить одно из следующих требований:
    • Вы должны быть участником Или владельцем Azure.
    • Поставщик Microsoft.ManagedIdentity ресурсов должен быть зарегистрирован в вашей подписке. Сведения о регистрации поставщика ресурсов см. в документации по Azure.

Типы администраторов Databricks

На платформе Azure Databricks доступны два основных уровня привилегий администратора:

  • Администраторы учетных записей. Управление учетной записью Azure Databricks, включая включение каталога Unity, подготовки пользователей и управления удостоверениями на уровне учетных записей.

  • Администраторы рабочей области: управление удостоверениями рабочей области, контролем доступа, параметрами и функциями для отдельных рабочих областей в учетной записи.

Кроме того, пользователям могут быть назначены эти роли администратора для конкретных функций, которые имеют более узкие наборы привилегий:

  • Администраторы Marketplace: управление профилем поставщика Databricks Marketplace своей учетной записи, включая создание и управление списками Marketplace.
  • Администраторы хранилища метаданных: управление привилегиями и правами владения для всех защищаемых объектов в хранилище метаданных каталога Unity, например, которые могут создавать каталоги или запрашивать таблицу.

Что такое администраторы учетных записей?

Администраторы учетных записей имеют права доступа ко всей учетной записи Azure Databricks. Администратор учетной записи может управлять параметрами учетной записи, настраивать подготовку пользователей, создавать хранилища метаданных для включения каталога Unity и управлять удостоверениями во всех рабочих областях в учетной записи.

Администраторы учетных записей также могут делегировать роли администратора учетной записи и администратора рабочей области любому другому пользователю.

Установка первого администратора учетной записи

Примечание.

Перед установкой администратора учетной записи необходимо развернуть по крайней мере одну рабочую область Azure Databricks.

Чтобы включить консоль учетной записи и установить первого администратора учетной записи, вам потребуется привлечь пользователя с идентификатором Microsoft Entra (ранее Azure Active Directory) Global Администратор istrator. В целях безопасности у пользователя с ролью глобального Администратор istrator Microsoft Entra ID есть разрешения на назначение первой роли администратора учетной записи. Выполнив эти действия, вы можете удалить глобальный Администратор istrator из учетной записи Azure Databricks.

Глобальный Администратор istrator должен использовать следующие инструкции:

  1. Войдите на портал Azure с помощью учетных данных глобального Администратор.
  2. Перейдите к accounts.azuredatabricks.net и войдите с помощью идентификатора Microsoft Entra. Azure Databricks автоматически создаст вам роль администратора учетной записи.
  3. Щелкните " Управление пользователями".
  4. Найдите и щелкните имя пользователя, которому нужно делегировать роль администратора учетной записи.
  5. На вкладке Роли включите параметр Администратор учетной записи.

После того как другой пользователь имеет роль администратора учетной записи, глобальный Администратор istrator Microsoft Entra ID больше не должен участвовать. Новый администратор учетной записи может удалить глобальный Администратор istrator из учетной записи Azure Databricks и назначить других пользователей роль администратора учетной записи.

Доступ к консоли учетной записи

Консоль учетной записи — это то, где администраторы учетных записей управляют учетной записью Azure Databricks.

Представление консоли учетной записи по умолчанию

Администраторы учетных записей могут получить доступ к консоли https://accounts.azuredatabricks.net учетной записи или щелкнуть свой адрес электронной почты в верхней части пользовательского интерфейса рабочей области и выбрать команду "Управление учетной записью".

Пользователи учетных записей, которые не являются администраторами учетных записей, могут получить доступ к учетной записи только по ссылке https://accounts.azuredatabricks.net. При входе в систему консоль учетной записи откроется список рабочих областей.

Примечание.

Если вы находитесь в нескольких клиентах идентификатора Microsoft Entra ID, URL-адрес консоли учетной записи учетной записи azure Databricks будет отображаться в клиенте по умолчанию. Чтобы получить доступ к консоли учетной записи другого клиента, перейдите к консоли учетной записи из рабочей области в предпочтительном клиенте.

Обязанности администратора учетной записи

В качестве администратора учетной записи ваши обязанности включают:

Включение каталога Unity

Примечание.

Если учетная запись Azure Databricks была создана после 9 ноября 2023 г., ваши рабочие области могут включать каталог Unity по умолчанию. Дополнительные сведения см. в разделе "Автоматическое включение каталога Unity".

Администратор учетной записи необходим для включения каталога Unity в учетной записи. Процесс включает создание хранилища метаданных каталога Unity, которое может выполняться только администратором учетной записи.

Инструкции по включению каталога Unity см. в статье "Начало работы с каталогом Unity".

Управление удостоверениями

Администраторы учетных записей должны синхронизировать поставщика удостоверений с Azure Databricks, если это применимо. См. раздел "Синхронизация пользователей и групп" из идентификатора Microsoft Entra.

Если вы включили каталог Unity по крайней мере для одной рабочей области в учетной записи, удостоверения (пользователи, группы и субъекты-службы) должны управляться в консоли учетной записи. Администраторы учетных записей могут предоставлять разрешения и назначать рабочие области этим удостоверениям.

Дополнительные сведения см. в разделе Управление пользователями и группами.

Мониторинг учетной записи с помощью системных таблиц

Системные таблицы — это аналитическое хранилище, размещенное в Azure Databricks, в котором находятся данные вашей учетной записи в каталоге system . Администраторы учетных записей могут включать системные таблицы для доступа к журналам аудита, оплачиваемым журналам использования, данным происхождения и т. д. См. статью "Мониторинг использования с системными таблицами".

Управление параметрами учетной записи

Администраторы учетных записей могут управлять аспектами учетной записи Azure Databricks из консоли учетной записи с помощью раздела Параметры. Это включает включение новых функций в учетной записи и настройку списков доступа к IP-адресам.

Что такое администраторы рабочей области?

Администраторы рабочей области имеют права администратора в одной рабочей области. Они могут управлять удостоверениями на уровне рабочей области, регулировать использование вычислительных ресурсов и включать и делегировать управление доступом на основе ролей (только план "Премиум").

Доступ к параметрам администратора

Администраторы рабочей области — это единственные пользователи, имеющие доступ к странице параметров администратора рабочей области. Администратор рабочей области может получить доступ к параметрам администратора, щелкнув имя пользователя в верхней строке рабочей области Azure Databricks и выбрав Параметры.

Представление параметров администратора по умолчанию

Обязанности администратора рабочей области

В качестве администратора рабочей области ваши обязанности включают:

Управление удостоверениями в рабочей области

Если рабочая область включена для каталога Unity, удостоверения следует добавить на уровне учетной записи. Затем администраторы рабочей области могут назначать пользователям, группам и субъектам-службам свою рабочую область. Дополнительные сведения о добавлении и удалении удостоверений в рабочей области см. в разделе "Управление пользователями,субъектами-службами" и группами.

Примечание.

Databricks Academy имеет бесплатный курс на identity Администратор istration. Прежде чем получить доступ к курсу, сначала необходимо зарегистрировать в Databricks Academy , если вы еще не сделали этого.

Создание вычислительных ресурсов и управление ими

Администраторы рабочей области могут создавать хранилища SQL (вычислительный ресурс, который позволяет выполнять команды SQL на объектах данных в Databricks SQL) и кластерах для пользователей рабочей области. Инструкции по созданию хранилищ SQL см. в статье "Создание хранилища SQL".

Это также задание администратора рабочей области для регулирования использования вычислительных ресурсов в рабочей области. Администраторы рабочей области имеют следующие средства:

Примечание.

Databricks Academy имеет бесплатный курс по вычислительным ресурсам Администратор istration.

Управление функциями и параметрами рабочих областей

Администраторы рабочей области отвечают за управление поведением и параметрами рабочей области. Дополнительные сведения о других доступных параметрах рабочей области см. в разделе "Управление параметрами рабочей области".

Примечание.

Databricks Academy имеет бесплатный курс по Рабочей области Databricks Администратор istration и security.

Дополнительные ресурсы

Databricks Academy имеет бесплатный самостоятельный путь обучения для администраторов платформы. Прежде чем получить доступ к курсу, сначала необходимо зарегистрировать в Databricks Academy , если вы еще не сделали этого.

Вы также можете зарегистрироваться для участия в обучении администрирования динамической платформы.