Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje úvod k oprávněním a zodpovědnostem správce Azure Databricks.
Požadovaná oprávnění správce Azure
Pokud chcete vytvořit pracovní prostor Azure Databricks nebo se přihlásit k pracovnímu prostoru Azure Databricks jako správce pracovního prostoru, musíte být jedním z následujících způsobů:
- Uživatel s rolí Přispěvatel nebo Vlastník na úrovni předplatného Azure.
- Uživatel s vlastní definicí role, která má následující seznam oprávnění:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
Jakmile vám je přidělena role správce pracovního prostoru v Azure Databricks, výše uvedené role Azure již nejsou vyžadovány. Přístup správce pracovního prostoru zachováte i v případě, že se tyto role Azure odeberou. Správci pracovního prostoru můžou také udělit dalším uživatelům roli správce pracovního prostoru v Azure Databricks bez ohledu na role Azure těchto uživatelů.
Poznámka:
Oprávnění Microsoft.Compute/register/action, , Microsoft.ManagedIdentity/register/actionMicrosoft.Storage/register/action Microsoft.Network/register/action nejsou vyžadována, pokud jsou tito poskytovatelé již zaregistrovaní v předplatném. Viz Zaregistrujte poskytovatele prostředků.
Typy správců Databricks
Na platformě Azure Databricks jsou k dispozici dvě hlavní úrovně oprávnění správce:
- Správci účtů: Spravují účet Azure Databricks, včetně povolení katalogu Unity, zřizování uživatelů a správy identit na úrovni účtu.
- Správci pracovního prostoru: Správa identit pracovních prostorů, řízení přístupu, nastavení a funkcí pro jednotlivé pracovní prostory v účtu.
Kromě toho je možné uživatelům přiřadit tyto role správce specifické pro funkce, které mají užší sady oprávnění:
- Správci Marketplace: Spravují profil poskytovatele Databricks Marketplace svého účtu, včetně vytváření a správy výpisů z Marketplace.
- Správci metastoru: Spravují oprávnění a vlastnictví pro všechny zabezpečitelné objekty v metastoru katalogu Unity, například kdo může vytvářet katalogy nebo dotazovat tabulku.
- Správci fakturace: Umožňuje zobrazit rozpočty a spravovat zásady bezserverového rozpočtu napříč účtem.
Co jsou správci účtu?
Správci účtů mají oprávnění k celému účtu Azure Databricks. Jako správce účtu můžete spravovat nastavení účtu, nastavit zřizování uživatelů, vytvářet metastory pro povolení katalogu Unity a spravovat identity ve všech pracovních prostorech v účtu.
Správci účtu můžou také delegovat role správce účtu a správce pracovního prostoru na jiného uživatele.
Vytvoření prvního správce účtu
Poznámka:
Konzola účtu není dostupná v oblastech Azure Government.
Kvůli bezpečnosti a integritě organizace Databricks vyžaduje, aby globální správce Microsoft Entra ID vytvořil první roli správce vašeho účtu. Tím se zajistí, že se nevytvořila role správce specifická pro vysoce privilegované služby bez dohledu nad správcem s vyššími oprávněními.
Po dokončení těchto kroků můžete globálního správce odebrat z účtu Azure Databricks.
Globální správce by měl použít následující pokyny:
- Přihlaste se k webu Azure Portal pomocí přihlašovacích údajů globálního správce.
- Přejděte na accounts.azuredatabricks.net a přihlaste se pomocí Microsoft Entra ID. Azure Databricks automaticky vytvoří roli správce účtu za vás.
- Klikněte na Správa uživatelů.
- Vyhledejte a klikněte na uživatelské jméno uživatele, na kterého chcete delegovat roli správce účtu.
- Na kartě Role zapněte Správce účtu.
Jakmile má jiný uživatel roli správce účtu, globální správce Microsoft Entra ID už nemusí být zapojen. Nový správce účtu může z účtu Azure Databricks odebrat globálního správce a přiřadit ostatním uživatelům roli správce účtu.
Přístup ke konzole účtu
Konzola účtu je místo, kde správci účtů spravují svůj účet Azure Databricks.
Správci účtů můžou získat přístup ke konzole účtu v horní https://accounts.azuredatabricks.net části uživatelského rozhraní pracovního prostoru nebo kliknutím na selektor pracovního prostoru a výběrem možnosti Spravovat účet.
Uživatelé účtu, kteří nejsou správci, mají přístup pouze z https://accounts.azuredatabricks.net. Po přihlášení se konzola účtu otevře se seznamem svých pracovních prostorů.
Poznámka:
Pokud jste ve více tenantech Microsoft Entra ID, adresa URL konzoly účtu vás ve výchozím tenantovi přenese do konzoly účtu Azure Databricks. Pokud chcete získat přístup ke konzole účtu jiného tenanta, přejděte ke konzole účtu z pracovního prostoru ve vašem preferovaném tenantovi.
Odpovědnosti správce účtu
Jako správce účtu vaše odpovědnosti zahrnují:
- Povolení katalogu Unity
- Správa identit
- Monitorování protokolů využití účtu
- Správa nastavení na úrovni účtu
- Správa předběžných přístupů Databricks
Povolení katalogu Unity
Poznámka:
Pokud byl váš účet Azure Databricks vytvořený po 9. listopadu 2023, vaše pracovní prostory můžou mít ve výchozím nastavení povolený katalog Unity. Další informace naleznete v tématu Automatické povolení katalogu Unity.
Správce účtu je potřeba k povolení katalogu Unity ve vašem účtu. Tento proces zahrnuje vytvoření metastoru katalogu Unity, který může provést pouze správce účtu.
Pokyny k povolení katalogu Unity najdete v tématu Začínáme používat katalog Unity.
Správa identit
Pokud je to možné, měli by správci účtu synchronizovat svého zprostředkovatele identity s Azure Databricks. Viz Synchronizace uživatelů a skupin z Microsoft Entra ID pomocí SCIM.
Pokud jste povolili katalog Unity pro alespoň jeden pracovní prostor ve svém účtu, identity (uživatelé, skupiny a služební identity) by měly být spravovány v konzole účtu. Správci účtů můžou těmto identitám udělit oprávnění a přiřazovat pracovní prostory.
Další informace najdete v tématu Správa uživatelů a skupin.
Monitorování účtu pomocí systémových tabulek
Systémové tabulky jsou datovým úložištěm provozních dat vašeho účtu, hostovaným službou Azure Databricks, které se nachází v system katalogu. Správci účtů můžou povolit systémovým tabulkám přístup k protokolům auditu, fakturovatelným protokolům využití, datům rodokmenu a dalším. Viz Monitorování aktivity účtu pomocí systémových tabulek.
Správa nastavení účtu
Správci účtů můžou spravovat aspekty svého účtu Azure Databricks z konzoly účtu pomocí části Nastavení . To zahrnuje povolení nových funkcí v rámci účtu a konfiguraci přístupových seznamů IP adres.
Správa náhledů
Spravujte náhledové verze Azure Databricks ve vašem pracovním prostoru nebo v pracovních prostorech organizace. Verze Preview poskytují přednostní přístup k funkcím dříve, než budou vydány pro obecnou dostupnost (GA). Podívejte se na Správa náhledů Azure Databricks.
Co jsou správci pracovního prostoru?
Správci pracovního prostoru mají oprávnění správce v rámci jednoho pracovního prostoru. Můžou spravovat identity na úrovni pracovního prostoru, regulovat využití výpočetních prostředků a povolit a delegovat řízení přístupu na základě role (jenom plán Premium ).
Přístup k nastavení správce
Správci pracovního prostoru jsou jedinými uživateli, kteří mají přístup ke stránce nastavení správce pracovního prostoru. Jako správce pracovního prostoru můžete získat přístup k nastavení správce kliknutím na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a výběrem nastavení.
Odpovědnosti správce pracovního prostoru
Jako správce pracovního prostoru zahrnují vaše odpovědnosti:
- Správa identit ve vašem pracovním prostoru
- Vytváření a správa výpočetních prostředků
- Správa funkcí a nastavení pracovního prostoru
Řízení identit v pracovním prostoru
Pokud je pro katalog Unity povolený váš pracovní prostor, měly by se identity přidat na úrovni účtu. Správci pracovního prostoru pak můžou přiřadit uživatele, skupiny a správce služeb k jejich pracovnímu prostoru. Další informace o přidávání a odebírání identit v pracovním prostoru najdete v tématu Správa uživatelů, instančních objektů a skupin.
Poznámka:
Databricks Academy má bezplatný kurz o správě identit. Než budete mít přístup k kurzu, musíte se nejprve zaregistrovat do Databricks Academy , pokud jste to ještě neudělali.
Vytváření a správa výpočetních prostředků
Správci pracovního prostoru můžou vytvářet sklady SQL (výpočetní prostředek, který umožňuje spouštět příkazy SQL na datových objektech v rámci Databricks SQL) a clustery pro uživatele pracovního prostoru. Pokyny k vytváření skladů SQL najdete v tématu Vytvoření služby SQL Warehouse.
Je to také úloha správce pracovního prostoru, která reguluje způsob použití výpočetních prostředků ve svém pracovním prostoru. Správci pracovního prostoru mají následující nástroje:
- Omezte možnosti vytváření clusteru uživatelů pracovního prostoru pomocí zásad clusteru.
- Databricks doporučuje spravovat všechny inicializační skripty jako skripty inicializace v rámci clusteru. Místo použití globálních inicializačních skriptů spravujte inicializační skripty pomocí zásad clusteru.
- Zjistěte, které výpočetní prostředky mají přístup ke katalogu Unity.
Poznámka:
Databricks Academy má bezplatný kurz o správě výpočetních prostředků.
Správa funkcí a nastavení pracovních prostorů
Správci pracovního prostoru zodpovídají za správu vybraného chování a nastavení pracovního prostoru. Informace o dalších dostupných nastaveních pracovního prostoru najdete v tématu Správa nastavení pracovního prostoru.
Poznámka:
Databricks Academy má bezplatný kurz o správě a zabezpečení pracovních prostorů Databricks.
Dodatečné zdroje
Databricks Academy nabízí bezplatný studijní program pro správce platforem. Než budete mít přístup k kurzu, musíte se nejprve zaregistrovat do Databricks Academy , pokud jste to ještě neudělali.
Můžete se také zaregistrovat a zúčastnit se školení pro správu živé platformy.
Odpovědi na mnoho otázek můžete získat také v komunitě Databricks.