Introduktion till Azure Databricks-administration
Den här artikeln innehåller en introduktion till administratörsbehörigheter och ansvarsområden för Azure Databricks.
Nödvändiga Azure-administratörsbehörigheter
För att hantera din Azure Databricks-tjänst behöver du följande Azure-administratörsbehörigheter:
- En användare med rollen Azure Contributor eller Owner som kan visa och göra ändringar i dina Azure Databricks-tjänster, Azure-prenumerationer och diagnostiska loggningskonfigurationer.
- Microsoft Entra-ID-administratörer med behörighet att aktivera villkorsstyrd åtkomst för Microsoft Entra-ID (tidigare Azure Active Directory).
- Om du vill skapa Azure Databricks-arbetsytor måste du uppfylla något av följande krav:
- Du måste vara Azure-deltagare eller ägare.
- Resursprovidern
Microsoft.ManagedIdentitymåste vara registrerad i din prenumeration. Se Registrera resursprovider i Azure-dokumentationen.
Databricks-administratörstyper
Det finns två huvudsakliga nivåer av administratörsbehörigheter tillgängliga på Azure Databricks-plattformen:
Kontoadministratörer: Hantera Azure Databricks-kontot, inklusive aktivering av Unity Catalog, användaretablering och identitetshantering på kontonivå.
Arbetsyteadministratörer: Hantera arbetsyteidentiteter, åtkomstkontroll, inställningar och funktioner för enskilda arbetsytor i kontot.
Dessutom kan användare tilldelas dessa funktionsspecifika administratörsroller, som har smalare uppsättningar med behörigheter:
- Marketplace-administratörer: Hantera kontots Databricks Marketplace-providerprofil, inklusive att skapa och hantera Marketplace-listor.
- Metaarkivadministratörer: Hantera behörigheter och ägarskap för alla skyddsbara objekt i ett Unity Catalog-metaarkiv, till exempel vem som kan skapa kataloger eller köra frågor mot en tabell.
Vad är kontoadministratörer?
Kontoadministratörer har behörighet över hela Azure Databricks-kontot. Som kontoadministratör kan du hantera kontoinställningar, konfigurera användaretablering, skapa metaarkiv för unity-katalogaktivering och hantera identiteter på alla arbetsytor i kontot.
Kontoadministratörer kan också delegera administratörs- och arbetsyteadministratörsrollerna till alla andra användare.
Upprätta din första kontoadministratör
Kommentar
Du måste ha minst en Azure Databricks-arbetsyta distribuerad i ditt konto innan du kan upprätta en kontoadministratör.
Om du vill aktivera kontokonsolen och upprätta din första kontoadministratör måste du engagera någon som har rollen Microsoft Entra-ID (tidigare Azure Active Directory) global administratör. I säkerhetssyfte är det bara någon med rollen Global administratör för Microsoft Entra-ID som har behörighet att tilldela den första rollen kontoadministratör. När du har slutfört de här stegen kan du ta bort den globala administratören från Azure Databricks-kontot.
Den globala administratören bör använda följande instruktioner:
- Logga in på Azure-portalen med dina autentiseringsuppgifter för global administratör.
- Gå till accounts.azuredatabricks.net och logga in med Microsoft Entra-ID. Azure Databricks skapar automatiskt en kontoadministratörsroll åt dig.
- Klicka på Användarhantering.
- Leta upp och klicka på användarnamnet för den användare som du vill delegera kontoadministratörsrollen till.
- På fliken Roller aktiverar du Kontoadministratör.
När en annan användare har rollen kontoadministratör behöver den globala administratören för Microsoft Entra-ID inte längre vara involverad. Den nya kontoadministratören kan ta bort den globala administratören från Azure Databricks-kontot och tilldela andra användare rollen kontoadministratör.
Få åtkomst till kontokonsolen
Kontokonsolen är där kontoadministratörer hanterar sitt Azure Databricks-konto.
Kontoadministratörer kan komma åt kontokonsolen på https://accounts.azuredatabricks.net eller genom att klicka på sin e-postadress överst i arbetsytans användargränssnitt och välja Hantera konto.
Kontoanvändare som inte är kontoadministratörer kan bara komma åt kontot från https://accounts.azuredatabricks.net. När du loggar in öppnas kontokonsolen till en lista över deras arbetsytor.
Kommentar
Om du är i flera Microsoft Entra ID-klienter kommer kontokonsolens URL att ta dig till Azure Databricks-kontokonsolen i din standardklientorganisation. Om du vill komma åt kontokonsolen för en annan klient får du åtkomst till kontokonsolen inifrån en arbetsyta i önskad klientorganisation.
Ansvarsområden för kontoadministratör
Som kontoadministratör omfattar ditt ansvar:
- Aktivera Unity-katalog
- Hantera identiteter
- Övervaka kontoanvändningsloggar
- Hantera inställningar på kontonivå
Aktivera Unity-katalog
Kommentar
Om ditt Azure Databricks-konto skapades efter den 9 november 2023 kan dina arbetsytor ha Unity Catalog aktiverat som standard. Mer information finns i Automatisk aktivering av Unity Catalog.
En kontoadministratör krävs för att aktivera Unity Catalog i ditt konto. Processen innebär att skapa ett Unity Catalog-metaarkiv, som bara kan göras av en kontoadministratör.
Anvisningar om hur du aktiverar Unity Catalog finns i Komma igång med Unity Catalog.
Hantera identiteter
Kontoadministratörer bör synkronisera sin identitetsprovider med Azure Databricks om tillämpligt. Se Synkronisera användare och grupper från Microsoft Entra-ID.
Om du har aktiverat Unity Catalog för minst en arbetsyta i ditt konto ska identiteter (användare, grupper och tjänstens huvudnamn) hanteras i kontokonsolen. Kontoadministratörer kan bevilja behörigheter och tilldela arbetsytor till dessa identiteter.
Mer information finns i Hantera användare och grupper.
Övervaka konto med systemtabeller
Systemtabeller är ett Azure Databricks-värdbaserat analyslager för ditt kontos driftdata som finns i system katalogen. Kontoadministratörer kan aktivera systemtabeller för åtkomst till granskningsloggar, fakturerbara användningsloggar, ursprungsdata med mera. Se Övervaka användning med systemtabeller.
Hantera kontoinställningar
Kontoadministratörer kan hantera aspekter av sitt Azure Databricks-konto från kontokonsolen med hjälp av avsnittet Inställningar. Detta omfattar aktivering av nya funktioner i kontot och konfiguration av IP-åtkomstlistor.
Vad är arbetsyteadministratörer?
Arbetsyteadministratörer har administratörsbehörighet inom en enda arbetsyta. De kan hantera identiteter på arbetsytenivå, reglera beräkningsanvändning och aktivera och delegera rollbaserad åtkomstkontroll (endast Premium-plan ).
Få åtkomst till administratörsinställningarna
Arbetsyteadministratörer är de enda användare som har åtkomst till arbetsytans administratörsinställningar. Som arbetsyteadministratör kan du komma åt administratörsinställningarna genom att klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välja Inställningar.
Administratörsansvar för arbetsyta
Som arbetsyteadministratör omfattar dina ansvarsområden:
- Hantera identiteter på din arbetsyta
- Skapa och hantera beräkningsresurser
- Hantera funktioner och inställningar för arbetsytor
Hantera identiteter på din arbetsyta
Om din arbetsyta är aktiverad för Unity Catalog ska identiteter läggas till på kontonivå. Arbetsyteadministratörer kan sedan tilldela användare, grupper och tjänstens huvudnamn till sin arbetsyta. Mer information om hur du lägger till och tar bort identiteter på en arbetsyta finns i Hantera användare, tjänstens huvudnamn och grupper.
Kommentar
Databricks Academy har en kostnadsfri kurs om identitetsadministration. Innan du kan komma åt kursen måste du först registrera dig för Databricks Academy om du inte redan har gjort det.
Skapa och hantera beräkningsresurser
Arbetsyteadministratörer kan skapa SQL-lager (en beräkningsresurs som gör att du kan köra SQL-kommandon på dataobjekt i Databricks SQL) och kluster för deras arbetsyteanvändare. Anvisningar om hur du skapar SQL-lager finns i Skapa ett SQL-lager.
Det är också arbetsyteadministratörens jobb att reglera hur beräkningsresurser används på deras arbetsyta. Arbetsyteadministratörer har följande verktyg:
- Begränsa skapandealternativen för arbetsytans användare med klusterprinciper.
- Databricks rekommenderar att du hanterar alla init-skript som init-skript med klusteromfattning. I stället för att använda globala init-skript kan du hantera init scipts med hjälp av klusterprinciper.
- Lär dig vilka beräkningsresurser som har åtkomst till Unity Catalog.
Kommentar
Databricks Academy har en kostnadsfri kurs om administration av beräkningsresurser.
Hantera funktioner och inställningar för arbetsytor
Arbetsyteadministratörer ansvarar för att hantera beteende och inställningar för utvalda arbetsytor. Mer information om andra tillgängliga arbetsyteinställningar finns i Hantera inställningar för arbetsytor.
Kommentar
Databricks Academy har en kostnadsfri kurs om databricks-arbetsyteadministration och säkerhet.
Ytterligare resurser
Databricks Academy har en kostnadsfri utbildningsväg i egen takt för plattformsadministratörer. Innan du kan komma åt kursen måste du först registrera dig för Databricks Academy om du inte redan har gjort det.
Du kan också registrera dig för att delta i en direktutbildning för plattformsadministration.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för