Översikt över Databricks-administration

Den här artikeln innehåller en introduktion till Azure Databricks administratörsbehörigheter och ansvarsområden.

Required Azure administratörsbehörigheter

Vilka Azure behörigheter som krävs för att arbeta med Azure Databricks beror på om du skapar en arbetsyta eller loggar in på en befintlig arbetsyta som administratör.

Behörigheter som krävs för att skapa arbetsytor

Om du vill skapa en Azure Databricks arbetsyta måste du vara något av följande:

• En användare med rollen Azure Contributor eller Owner på prenumerationsnivå.
• En användare med en anpassad rolldefinition som har följande lista med behörigheter:
  • Microsoft.Databricks/workspaces/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/write
  • Microsoft.Databricks/accessConnectors/*
  • Microsoft.Compute/register/action
  • Microsoft.ManagedIdentity/register/action
  • Microsoft.Storage/register/action
  • Microsoft.Network/register/action
  • Microsoft.Resources/deployments/validate/action
  • Microsoft.Resources/deployments/write
  • Microsoft.Resources/deployments/read

Behörigheter som krävs för att logga in som arbetsyteadministratör

Om du ännu inte har beviljats rollen som arbetsyteadministratör i Azure Databricks kan du få administratörsåtkomst för arbetsytan genom att logga in med någon av följande Azure roller:

• En användare med rollen Azure Contributor eller Owner på prenumerationsnivå.
• En användare med en anpassad rolldefinition som har följande behörigheter:
  • Microsoft.Databricks/workspaces/*
  • Microsoft.Databricks/accessConnectors/*

När du har loggat in och fått administratörsåtkomst till arbetsytan krävs inte längre dessa Azure roller. Du behåller administratörsåtkomsten för arbetsytan även om de Azure rollerna tas bort. Du behöver inte dessa Azure-roller om arbetsytans administratörsroll tilldelas av en arbetsytetsadministratör eller konto-administratör i ditt Azure Databricks-konto.

Databricks-administratörstyper

Det finns två huvudsakliga nivåer av administratörsbehörigheter tillgängliga på Azure Databricks-plattformen:

• Kontoadministratörer: Hantera Azure Databricks-kontot, inklusive aktivering av Unity Catalog, användaretablering och identitetshantering på kontonivå.

• Arbetsyteadministratörer: Hantera arbetsyteidentiteter, åtkomstkontroll, inställningar och funktioner för enskilda arbetsytor i kontot.

Dessutom kan användare tilldelas dessa funktionsspecifika administratörsroller, som har smalare uppsättningar med behörigheter:

• Marketplace-administratörer: Hantera kontots Databricks Marketplace-providerprofil, inklusive att skapa och hantera Marketplace-listor.
• Metaarkivadministratörer: Hantera behörigheter och ägarskap för alla skyddsbara objekt i ett Unity Catalog-metaarkiv, till exempel vem som kan skapa kataloger eller köra frågor mot en tabell.

• Faktureringsadministratörer: Visa budgetar och hantera serverlösa budgetprinciper över konton.

Vad är kontoadministratörer?

Kontoadministratörer har behörighet över hela Azure Databricks kontot. Som kontoadministratör kan du hantera kontoinställningar, konfigurera användaretablering, skapa metaarkiv för unity-katalogaktivering och hantera identiteter på alla arbetsytor i kontot.

Kontoadministratörer kan också delegera administratörs- och arbetsyteadministratörsrollerna till alla andra användare.

Upprätta din första kontoadministratör

För säkerhets- och organisationsintegritet kräver Databricks att en Microsoft Entra ID global administratör upprättar kontots första kontoadministratörsroll. Detta säkerställer att en mycket privilegierad tjänstspecifik administratörsroll inte skapas utan tillsyn från en administratör med högre privilegier.

När du har slutfört de här stegen kan du ta bort den globala administratören från Azure Databricks-kontot.

Den globala administratören bör använda följande instruktioner:

1. Logga in på din Azure Portal med dina autentiseringsuppgifter för global administratör.
2. Gå till accounts.azuredatabricks.net och logga in med Microsoft Entra ID. Azure Databricks skapar automatiskt en kontoadministratörsroll åt dig.
3. Klicka på Användarhantering.
4. Leta upp och klicka på användarnamnet för den användare som du vill delegera kontoadministratörsrollen till.
5. På fliken Roller aktiverar du Kontoadministratör.

När en annan användare har rollen kontoadministratör behöver Microsoft Entra ID global administratör inte längre vara involverad. Den nya kontoadministratören kan ta bort den globala administratören från Azure Databricks-kontot och tilldela andra användare rollen kontoadministratör.

Få åtkomst till kontokonsolen

Kontokonsolen är där kontoadministratörer hanterar sitt Azure Databricks konto.

Kontoadministratörer kan komma åt kontokonsolen på https://accounts.azuredatabricks.net eller genom att klicka på arbetsytans väljare överst i arbetsytans användargränssnitt och välja Hantera konto.

Kontoanvändare som inte är kontoadministratörer kan bara komma åt kontot från https://accounts.azuredatabricks.net. När du loggar in öppnas kontokonsolen till en lista över deras arbetsytor.

Ansvarsområden för kontoadministratör

Som kontoadministratör omfattar ditt ansvar:

• Aktivera Unity Catalog
• Hantera identiteter
• Övervaka kontoanvändningsloggar
• Hantera inställningar på kontonivå
• Hantera Förhandsversioner av Databricks

Aktivera Unity-katalog

En kontoadministratör krävs för att aktivera Unity Catalog i ditt konto. Processen innebär att skapa ett Unity Catalog-metaarkiv, som bara kan göras av en kontoadministratör.

Anvisningar om hur du aktiverar Unity Catalog finns i Komma igång med Unity Catalog.

Hantera identiteter

Kontoadministratörer bör synkronisera sin identitetsprovider med Azure Databricks om tillämpligt. Se Synkrona användare och grupper från Microsoft Entra ID med SCIM.

Om du har aktiverat Unity Catalog för minst en arbetsyta i ditt konto ska identiteter (användare, grupper och tjänstens huvudnamn) hanteras i kontokonsolen. Kontoadministratörer kan bevilja behörigheter och tilldela arbetsytor till dessa identiteter.

Mer information finns i Hantera användare och grupper.

Övervaka konto med systemtabeller

Systemtabeller är ett Azure Databricks värdbaserat analyslager för ditt kontos driftdata som finns i katalogen system. Kontoadministratörer kan aktivera systemtabeller för åtkomst till granskningsloggar, fakturerbara användningsloggar, ursprungsdata med mera. Se Övervaka kontoaktivitet med systemtabeller.

Hantera kontoinställningar

Kontoadministratörer kan hantera aspekter av sitt Azure Databricks konto från kontokonsolen med hjälp av avsnittet Settings. Detta omfattar aktivering av nya funktioner i kontot och konfiguration av IP-åtkomstlistor.

Hantera förhandsversioner

Hantera Azure Databricks förhandsversioner på din arbetsyta eller en organisations arbetsytor. Förhandsversioner ger tidig åtkomst till funktioner innan de släpps för allmän tillgänglighet (GA). Se Hantera Azure Databricks förhandsversioner.

Vad är arbetsyteadministratörer?

Arbetsyteadministratörer har administratörsbehörighet inom en enda arbetsyta. De kan hantera identiteter på arbetsytenivå, reglera beräkningsanvändning och aktivera och delegera rollbaserad åtkomstkontroll (endast Premium-plan ).

Få åtkomst till administratörsinställningarna

Arbetsyteadministratörer är de enda användare som har åtkomst till arbetsytans administratörsinställningar. Som arbetsyteadministratör kan du komma åt administratörsinställningarna genom att klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välja Inställningar.

Administratörsansvar för arbetsyta

Som arbetsyteadministratör omfattar dina ansvarsområden:

• Hantera identiteter på din arbetsyta
• Skapa och hantera beräkningsresurser
• Hantera funktioner och inställningar för arbetsytor

Hantera identiteter på din arbetsyta

Om din arbetsyta är aktiverad för Unity Catalog ska identiteter läggas till på kontonivå. Arbetsyteadministratörer kan sedan tilldela användare, grupper och tjänstens huvudnamn till sin arbetsyta. Mer information om hur du lägger till och tar bort identiteter på en arbetsyta finns i Hantera användare, tjänstens huvudnamn och grupper.

Skapa och hantera beräkningsresurser

Arbetsyteadministratörer kan skapa SQL-lager (en beräkningsresurs som gör att du kan köra SQL-kommandon på dataobjekt i Databricks SQL) och kluster för deras arbetsyteanvändare. Anvisningar om hur du skapar SQL-lager finns i Skapa ett SQL-lager.

Det är också arbetsyteadministratörens jobb att reglera hur beräkningsresurser används på deras arbetsyta. Arbetsyteadministratörer har följande verktyg:

• Begränsa skapandealternativen för arbetsytans användare med klusterprinciper.
  • Databricks rekommenderar att du hanterar alla init-skript som init-skript med klusteromfattning. I stället för att använda globala init-skript kan du hantera init scipts med hjälp av klusterprinciper.
• Lär dig vilka beräkningsresurser som har åtkomst till Unity Catalog.

Hantera funktioner och inställningar för arbetsytor

Arbetsyteadministratörer ansvarar för att hantera beteende och inställningar för utvalda arbetsytor. Mer information om andra tillgängliga arbetsyteinställningar finns i Hantera inställningar för arbetsytor.

Ytterligare resurser

Databricks Academy har en kostnadsfri utbildningsväg i egen takt för plattformsadministratörer. Innan du kan komma åt kursen måste du först registrera dig för Databricks Academy om du inte redan har gjort det.

Du kan också registrera dig för att delta i en direktutbildning för plattformsadministration.

Du kan också få svar på många frågor i Databricks Community.