Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo offre un'introduzione ai privilegi e alle responsabilità di amministratore Azure Databricks.
Autorizzazioni di amministratore di Azure richieste
Le autorizzazioni di Azure necessarie per funzionare con Azure Databricks dipendono dal fatto che si stia creando un'area di lavoro o effettuando l'accesso a un'area di lavoro esistente come amministratore.
Autorizzazioni necessarie per la creazione dell'area di lavoro
Per creare un'area di lavoro Azure Databricks, è necessario essere uno dei seguenti:
- Un utente con il ruolo di Collaboratore di Azure o Proprietario a livello di sottoscrizione.
- Un utente con una definizione di ruolo personalizzata con l'elenco di autorizzazioni seguente:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
Annotazioni
Le autorizzazioni Microsoft.Compute/register/action, Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/register/action non sono necessarie se questi provider sono già registrati nella sottoscrizione. Vedere Registrare il provider di risorse.
Autorizzazioni necessarie per accedere come amministratore dell'area di lavoro
Se non è stato ancora concesso il ruolo di amministratore dell'area di lavoro in Azure Databricks, è possibile ottenere l'accesso amministratore dell'area di lavoro accedendo con uno dei ruoli Azure seguenti:
- Un utente con il ruolo di Collaboratore di Azure o Proprietario a livello di sottoscrizione.
- Un utente con una definizione di ruolo personalizzata con le autorizzazioni seguenti:
Microsoft.Databricks/workspaces/*Microsoft.Databricks/accessConnectors/*
Dopo aver eseguito l'accesso e aver ottenuto l'accesso amministratore dell'area di lavoro, questi ruoli Azure non sono più necessari. L'accesso amministratore dell'area di lavoro viene mantenuto anche se tali ruoli Azure vengono rimossi. Questi ruoli di Azure non sono necessari se il ruolo di amministratore dell'area di lavoro viene assegnato da un amministratore dell'area di lavoro o da un amministratore account nell'account Azure Databricks.
Tipi di amministratore di Databricks
Nella piattaforma Azure Databricks sono disponibili due livelli principali di privilegi di amministratore:
- Amministratori account: Gestiscono l'account Azure Databricks, inclusa l'abilitazione del Catalogo Unity, il provisioning di utenti e la gestione dell'identità a livello di account.
- Amministratori dell'area di lavoro: gestire le identità dell'area di lavoro, il controllo di accesso, le impostazioni e le funzionalità per le singole aree di lavoro nell'account.
Inoltre, agli utenti possono essere assegnati questi ruoli di amministratore specifici delle funzionalità, che hanno set di privilegi più ristretti:
- Amministratori del Marketplace: gestiscono il profilo del provider del Databricks Marketplace del proprio account, inclusi la creazione e la gestione degli annunci nel Marketplace.
- Amministratori metastore: Gestire privilegi e proprietà per tutti gli oggetti sicurizzabili all'interno di un metastore del Unity Catalog, ad esempio chi può creare cataloghi o eseguire query su una tabella.
- Amministratori di fatturazione: visualizzare i budget e gestire i criteri di budget serverless tra gli account.
Che cosa sono gli amministratori dell'account?
Gli amministratori dell'account hanno privilegi sull'intero account Azure Databricks. Come amministratore dell'account, puoi gestire le impostazioni dell'account, configurare il provisioning degli utenti, creare un metastore per l'abilitazione di Unity Catalog e gestire le identità in tutti gli spazi di lavoro dell'account.
Gli amministratori dell'account possono anche delegare i ruoli di amministratore dell'account e amministratore dell'area di lavoro a qualsiasi altro utente.
Configura il tuo primo amministratore dell'account
Annotazioni
La console dell'account non è disponibile nelle aree Azure per enti pubblici.
Per la sicurezza e l'integrità dell'organizzazione, Databricks richiede che un amministratore globale di Microsoft Entra ID stabilisca il primo ruolo di amministratore dell'account. Ciò garantisce che un ruolo di amministratore specifico del servizio con privilegi elevati non venga creato senza supervisione da un amministratore con privilegi più elevati.
Dopo aver completato questi passaggi, è possibile rimuovere l'amministratore globale dall'account Azure Databricks.
L'amministratore globale deve usare le istruzioni seguenti:
- Accedere al portale di Azure con le credenziali di amministratore globale.
- Passare a accounts.azuredatabricks.net e accedere con Microsoft Entra ID. Azure Databricks crea automaticamente un ruolo di amministratore dell'account.
- Fare clic su Gestione utenti.
- Trovare e fare clic sul nome utente dell'utente a cui si vuole delegare il ruolo di amministratore dell'account.
- Nella scheda Ruoli attivare Amministratore account.
Una volta che un altro utente ha il ruolo di amministratore dell'account, l'amministratore globale di Microsoft Entra ID non deve più essere coinvolto. Il nuovo amministratore dell'account può rimuovere l'amministratore globale dall'account Azure Databricks e assegnare ad altri utenti il ruolo di amministratore dell'account.
Accedere alla console dell'account
La console dell'account è la posizione in cui gli amministratori dell'account gestiscono il proprio account Azure Databricks.
Gli amministratori dell'account possono accedere alla console dell'account all'indirizzo https://accounts.azuredatabricks.net o facendo clic sul selettore dell'area di lavoro nella parte superiore dell'interfaccia utente dell'area di lavoro e selezionando Gestisci account.
Gli utenti dell'account che non sono gli amministratori dell'account possono accedere all'account solo da https://accounts.azuredatabricks.net. Al momento dell'accesso, la console dell'account mostra un elenco dei loro spazi di lavoro.
Annotazioni
Se ci si trova in più tenant Microsoft Entra ID, l'URL della console dell'account consente di accedere alla console dell'account Azure Databricks nel tenant predefinito. Per accedere alla console dell'account di un tenant diverso, accedere alla console dell'account dall'interno di un'area di lavoro nel tenant preferito.
Responsabilità dell'amministratore dell'account
In qualità di amministratore dell'account, le tue responsabilità includono:
- Abilitazione del catalogo Unity
- Gestione delle identità
- Monitoraggio dei log di utilizzo degli account
- Gestione delle impostazioni a livello di account
- Gestione delle anteprime di Databricks
Abilitare il catalogo Unity
Annotazioni
Se l'account Azure Databricks è stato creato dopo il 9 novembre 2023, per impostazione predefinita le aree di lavoro potrebbero avere il catalogo Unity abilitato. Per altre informazioni, vedere Abilitazione automatica del catalogo Unity.
È necessario un amministratore dell'account per abilitare Unity Catalog nell'account. Il processo comporta la creazione di un metastore del catalogo Unity, che solo un amministratore dell'account può eseguire.
Per istruzioni sull'abilitazione del catalogo Unity, vedere Introduzione all'uso del catalogo Unity.
Gestire le identità
Gli amministratori dell'account devono sincronizzare il provider di identità con Azure Databricks, se applicabile. Consulta Sincronizza utenti e gruppi da Microsoft Entra ID tramite SCIM.
Se è stato abilitato Unity Catalog per almeno un'area di lavoro nell'account, le identità (utenti, gruppi e entità servizio) devono essere gestite nella console dell'account. Gli amministratori dell'account possono concedere autorizzazioni e assegnare aree di lavoro a queste identità.
Per altre informazioni, vedere Gestire utenti e gruppi.
Monitoraggio dell'account con le tabelle di sistema
Le tabelle di sistema sono un archivio analitico ospitato da Azure Databricks dei dati operativi del tuo account, presenti nel catalogo system. Gli amministratori dell'account possono abilitare le tabelle di sistema per accedere ai log di controllo, ai log di utilizzo fatturabili, ai dati di derivazione e altro ancora. Vedi Monitorare l'attività dell'account con le tabelle di sistema.
Gestire le impostazioni dell'account
Gli amministratori account possono gestire gli aspetti dell'account Azure Databricks dalla console dell'account usando la sezione Settings. Ciò include l'abilitazione di nuove funzionalità nell'account e la configurazione degli elenchi di accesso IP.
Gestire le anteprime
Gestisci le funzionalità in anteprima di Azure Databricks all'interno dell'area di lavoro o delle aree di lavoro di un'organizzazione. Le anteprime forniscono l'accesso anticipato alle funzionalità prima che vengano rilasciate per la disponibilità generale. Consulta Gestisci anteprime Azure Databricks.
Che cosa sono gli amministratori dell'area di lavoro?
Gli amministratori dell'area di lavoro hanno privilegi di amministratore all'interno di una singola area di lavoro. Possono gestire le identità a livello di area di lavoro, regolare l'uso del calcolo e abilitare e delegare il controllo degli accessi in base al ruolo (solo piano Premium ).
Accedere alle impostazioni di amministratore
Gli amministratori dell'area di lavoro sono gli unici utenti che hanno accesso alla pagina delle impostazioni di amministrazione dell'area di lavoro. Gli amministratori dell'area di lavoro possono accedere alle impostazioni di amministrazione facendo clic sul nome utente nella barra superiore dell'area di lavoro Azure Databricks e selezionando Impostazioni.
Responsabilità dell'amministratore dell'area di lavoro
Come amministratore dell'area di lavoro, le tue responsabilità includono:
- Gestione delle identità nell'area di lavoro
- Creazione e gestione delle risorse di calcolo
- Gestione delle funzionalità e delle impostazioni dell'area di lavoro
Gestire le identità nell'area di lavoro
Se l'area di lavoro è abilitata per Unity Catalog, le identità devono essere aggiunte a livello di account. Gli amministratori dell'area di lavoro possono quindi assegnare utenti, gruppi ed entità servizio all'area di lavoro. Per altre informazioni sull'aggiunta e la rimozione di identità in un'area di lavoro, vedere Gestire utenti, entità servizio e gruppi.
Annotazioni
Databricks Academy ha un corso gratuito sull'amministrazione delle identità. Prima di poter accedere al corso, è necessario registrarsi per Databricks Academy , se non è già stato fatto.
Creare e gestire risorse di calcolo
Gli amministratori dell'area di lavoro possono creare sql warehouse (una risorsa di calcolo che consente di eseguire comandi SQL su oggetti dati all'interno di Databricks SQL) e cluster per gli utenti dell'area di lavoro. Per istruzioni sulla creazione di SQL Warehouse, vedere Creare un'istanza di SQL Warehouse.
È anche il lavoro dell'amministratore dell'area di lavoro per regolare il modo in cui vengono usate le risorse di calcolo nell'area di lavoro. Gli amministratori dell'area di lavoro hanno gli strumenti seguenti:
- Limitare le opzioni di creazione del cluster degli utenti dell'area di lavoro con i criteri del cluster.
- Databricks consiglia di gestire tutti gli script di inizializzazione come script di inizializzazione con ambito cluster. Invece di usare script di inizializzazione globali, gestisci gli script di inizializzazione usando i criteri del cluster.
- Informazioni sulle risorse di calcolo a cui è possibile accedere al catalogo Unity.
Annotazioni
Databricks Academy ha un corso gratuito sull'amministrazione delle risorse di calcolo.
Gestire le funzionalità e le impostazioni delle aree di lavoro
Gli amministratori dell'area di lavoro sono responsabili della gestione del comportamento e delle impostazioni dell'area di lavoro selezionati. Per informazioni su altre impostazioni dell'area di lavoro disponibili, vedere Gestione delle impostazioni dell'area di lavoro.
Annotazioni
Databricks Academy ha un corso gratuito sull'amministrazione e la sicurezza dell'area di lavoro di Databricks.
Risorse aggiuntive
Databricks Academy offre un percorso di apprendimento autonomo gratuito per gli amministratori della piattaforma. Prima di poter accedere al corso, è necessario registrarsi per Databricks Academy , se non è già stato fatto.
È anche possibile iscriversi per partecipare a una formazione di amministrazione della piattaforma live.
È anche possibile ottenere risposte a molte domande nella community di Databricks.