Přehled správy Databricks

Tento článek obsahuje úvod k oprávněním a zodpovědnostem správce Azure Databricks.

Požádka oprávnění správce Azure

Oprávnění Azure požadovaná pro práci s Azure Databricks závisejí na tom, jestli vytváříte pracovní prostor nebo se přihlašujete k existujícímu pracovnímu prostoru jako správce.

Oprávnění požadovaná k vytvoření pracovního prostoru

Pokud chcete vytvořit Azure Databricks pracovní prostor, musíte být jedním z následujících způsobů:

• Uživatel s rolí přispěvatele Azure nebo Owner na úrovni předplatného.
• Uživatel s vlastní definicí role, která má následující seznam oprávnění:
  • Microsoft.Databricks/workspaces/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/write
  • Microsoft.Databricks/accessConnectors/*
  • Microsoft.Compute/register/action
  • Microsoft.ManagedIdentity/register/action
  • Microsoft.Storage/register/action
  • Microsoft.Network/register/action
  • Microsoft.Resources/deployments/validate/action
  • Microsoft.Resources/deployments/write
  • Microsoft.Resources/deployments/read

Poznámka:

Oprávnění Microsoft.Compute/register/action, Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/register/action se nevyžadují, pokud jsou tito poskytovatelé již zaregistrovaní v předplatném. Viz Zaregistrujte poskytovatele prostředků.

Oprávnění potřebná k přihlášení jako správce pracovního prostoru

Pokud jste ještě nepřidělili roli správce pracovního prostoru v Azure Databricks, můžete získat přístup správce pracovního prostoru přihlášením pomocí jedné z následujících rolí Azure:

• Uživatel s rolí přispěvatele Azure nebo Owner na úrovni předplatného.
• Uživatel s vlastní definicí role, která má následující oprávnění:
  • Microsoft.Databricks/workspaces/*
  • Microsoft.Databricks/accessConnectors/*

Po přihlášení a získání přístupu správce pracovního prostoru se už tyto role Azure nevyžadují. Přístup správce pracovního prostoru si zachováte i v případě, že se tyto role Azure odeberou. Tyto Azure role nepotřebujete, pokud je role správce pracovního prostoru přiřazená správcem pracovního prostoru nebo správcem účtu ve vašem Azure Databricks účtu.

Typy správců Databricks

Na platformě Azure Databricks jsou k dispozici dvě hlavní úrovně oprávnění správce:

• Správci účtů: Spravujte účet Azure Databricks, včetně povolení katalogu Unity, zřizování uživatelů a správy identit na úrovni účtu.

• Správci pracovního prostoru: Správa identit pracovních prostorů, řízení přístupu, nastavení a funkcí pro jednotlivé pracovní prostory v účtu.

Kromě toho je možné uživatelům přiřadit tyto role správce specifické pro funkce, které mají užší sady oprávnění:

• Správci Marketplace: Spravují profil poskytovatele Databricks Marketplace svého účtu, včetně vytváření a správy výpisů z Marketplace.
• Správci metastoru: Spravují oprávnění a vlastnictví pro všechny zabezpečitelné objekty v metastoru katalogu Unity, například kdo může vytvářet katalogy nebo dotazovat tabulku.

• Správci fakturace: Zobrazení rozpočtů a správa zásad využití bez serveru napříč účtem

Co jsou správci účtu?

Správci účtu mají oprávnění k celému účtu Azure Databricks. Jako správce účtu můžete spravovat nastavení účtu, nastavit zřizování uživatelů, vytvářet metastory pro povolení katalogu Unity a spravovat identity ve všech pracovních prostorech v účtu.

Správci účtu můžou také delegovat role správce účtu a správce pracovního prostoru na jiného uživatele.

Vytvoření prvního správce účtu

Poznámka:

Konzola účtu není dostupná v Azure Government oblastech.

Pro zabezpečení a integritu organizace Databricks vyžaduje, aby Globální administrátor Microsoft Entra ID vytvořil první roli správce účtu. Tím se zajistí, že se nevytvořila role správce specifická pro vysoce privilegované služby bez dohledu nad správcem s vyššími oprávněními.

Po dokončení těchto kroků můžete z účtu Azure Databricks odebrat globálního správce.

Globální správce by měl použít následující pokyny:

1. Přihlaste se ke svému Azure Portal pomocí přihlašovacích údajů globálního správce.
2. Přejděte na accounts.azuredatabricks.net a přihlaste se pomocí Microsoft Entra ID. Azure Databricks automaticky vytvoří roli správce účtu za vás.
3. Klikněte na Správa uživatelů.
4. Vyhledejte a klikněte na uživatelské jméno uživatele, na kterého chcete delegovat roli správce účtu.
5. Na kartě Role zapněte Správce účtu.

Jakmile má jiný uživatel roli správce účtu, Microsoft Entra ID globální správce už nemusí být zapojen. Nový správce účtu může z účtu Azure Databricks odebrat globálního správce a přiřadit ostatním uživatelům roli správce účtu.

Přístup ke konzole účtu

Konzola účtu je místo, kde správci účtů spravují svůj Azure Databricks účet.

Správci účtů můžou získat přístup ke konzole účtu v horní https://accounts.azuredatabricks.net části uživatelského rozhraní pracovního prostoru nebo kliknutím na selektor pracovního prostoru a výběrem možnosti Spravovat účet.

Uživatelé účtu, kteří nejsou správci, mají přístup pouze z https://accounts.azuredatabricks.net. Po přihlášení se konzola účtu otevře se seznamem svých pracovních prostorů.

Poznámka:

Pokud jste ve více Microsoft Entra ID tenantech, adresa URL konzoly účtu vás přenese do konzoly účtu Azure Databricks ve výchozím tenantovi. Pokud chcete získat přístup ke konzole účtu jiného tenanta, přejděte ke konzole účtu z pracovního prostoru ve vašem preferovaném tenantovi.

Odpovědnosti správce účtu

Jako správce účtu vaše odpovědnosti zahrnují:

• Povolení katalogu Unity
• Správa identit
• Monitorování protokolů využití účtu
• Správa nastavení na úrovni účtu
• Správa předběžných přístupů Databricks

Povolení katalogu Unity

Poznámka:

Pokud se váš účet Azure Databricks vytvořil po 9. listopadu 2023, vaše pracovní prostory můžou mít ve výchozím nastavení povolený katalog Unity. Další informace naleznete v tématu Automatické povolení katalogu Unity.

Správce účtu je potřeba k povolení katalogu Unity ve vašem účtu. Tento proces zahrnuje vytvoření metastoru katalogu Unity, který může provést pouze správce účtu.

Pokyny k povolení katalogu Unity najdete v tématu Začínáme používat katalog Unity.

Správa identit

Správci účtů by měli synchronizovat svého zprostředkovatele identity s Azure Databricks, pokud je to možné. Podívejte se na Synchronizace uživatelů a skupin z Microsoft Entra ID pomocí SCIM.

Pokud jste povolili katalog Unity pro alespoň jeden pracovní prostor ve svém účtu, identity (uživatelé, skupiny a služební identity) by měly být spravovány v konzole účtu. Správci účtů můžou těmto identitám udělit oprávnění a přiřazovat pracovní prostory.

Další informace najdete v tématu Správa uživatelů a skupin.

Monitorování účtu pomocí systémových tabulek

Systémové tabulky jsou Azure Databricks hostované analytické úložiště provozních dat vašeho účtu nalezených v katalogu system. Správci účtů můžou povolit systémovým tabulkám přístup k protokolům auditu, fakturovatelným protokolům využití, datům rodokmenu a dalším. Viz Referenční informace k systémovým tabulkám.

Správa nastavení účtu

Správci účtů můžou spravovat aspekty svého účtu Azure Databricks z konzoly účtu pomocí oddílu Nastavení. To zahrnuje povolení nových funkcí v rámci účtu a konfiguraci přístupových seznamů IP adres.

Správa náhledů

Spravujte verze pre-zobrazení Azure Databricks ve svém pracovním prostoru nebo v pracovních prostorech organizace. Verze Preview poskytují přednostní přístup k funkcím dříve, než budou vydány pro obecnou dostupnost (GA). Viz Manage Azure Databricks preview.

Co jsou správci pracovního prostoru?

Správci pracovního prostoru mají oprávnění správce v rámci jednoho pracovního prostoru. Můžou spravovat identity na úrovni pracovního prostoru, regulovat využití výpočetních prostředků a povolit a delegovat řízení přístupu na základě role (jenom plán Premium ).

Správce účtu, který vytvoří pracovní prostor, je automaticky správcem pracovního prostoru v daném pracovním prostoru. Jiní správci účtu nemají ve výchozím nastavení přístup k pracovnímu prostoru, ale můžou sami sobě nebo libovolnému uživateli udělit roli správce pracovního prostoru v jakémkoli pracovním prostoru v účtu. Viz Přiřazení uživatele k pracovnímu prostoru.

Přiřazení role správce pracovního prostoru

Správci pracovního prostoru jsou členy adminssystémové skupiny v pracovním prostoru. Jedná se o rezervovanou skupinu, kterou nelze odstranit a nepodporuje přidávání podřízených skupin jako členů.

Roli správce pracovního prostoru je možné přiřadit jednotlivým uživatelům a služebním principálům. Roli správce pracovního prostoru nemůžete přiřadit skupině.

• Pokud chcete přiřadit roli správce pracovního prostoru uživateli, přečtěte si téma Přiřazení role správce pracovního prostoru uživateli.

• Pokud chcete přiřadit roli správce pracovního prostoru instančnímu objektu, přečtěte si téma Přiřazení role správce pracovního prostoru instančnímu objektu.

Přístup k nastavení správce

Správci pracovního prostoru jsou jedinými uživateli, kteří mají přístup ke stránce nastavení správce pracovního prostoru. Jako správce pracovního prostoru můžete získat přístup k nastavením správce tak, že kliknete na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberete Nastavení.

Odpovědnosti správce pracovního prostoru

Jako správce pracovního prostoru zahrnují vaše odpovědnosti:

• Správa identit ve vašem pracovním prostoru
• Vytváření a správa výpočetních prostředků
• Správa funkcí a nastavení pracovního prostoru

Řízení identit v pracovním prostoru

Pokud je pro katalog Unity povolený váš pracovní prostor, měly by se identity přidat na úrovni účtu. Správci pracovního prostoru pak můžou přiřadit uživatele, skupiny a správce služeb k jejich pracovnímu prostoru. Další informace o přidávání a odebírání identit v pracovním prostoru najdete v tématu Správa uživatelů, instančních objektů a skupin.

Poznámka:

Databricks Academy má bezplatný kurz o správě identit. Než budete mít přístup k kurzu, musíte se nejprve zaregistrovat do Databricks Academy , pokud jste to ještě neudělali.

Vytváření a správa výpočetních prostředků

Správci pracovního prostoru můžou vytvářet sklady SQL (výpočetní prostředek, který umožňuje spouštět příkazy SQL na datových objektech v rámci Databricks SQL) a clustery pro uživatele pracovního prostoru. Pokyny k vytváření skladů SQL najdete v tématu Vytvoření služby SQL Warehouse.

Je to také úloha správce pracovního prostoru, která reguluje způsob použití výpočetních prostředků ve svém pracovním prostoru. Správci pracovního prostoru mají následující nástroje:

• Omezte možnosti vytváření clusteru uživatelů pracovního prostoru pomocí zásad clusteru.
  • Databricks doporučuje spravovat všechny inicializační skripty jako skripty inicializace v rámci clusteru. Místo použití globálních inicializačních skriptů spravujte inicializační skripty pomocí zásad clusteru.
• Zjistěte, které výpočetní prostředky mají přístup ke katalogu Unity.

Poznámka:

Databricks Academy má bezplatný kurz o správě výpočetních prostředků.

Správa funkcí a nastavení pracovních prostorů

Správci pracovního prostoru zodpovídají za správu vybraného chování a nastavení pracovního prostoru. Informace o dalších dostupných nastaveních pracovního prostoru najdete v tématu Správa nastavení pracovního prostoru.

Poznámka:

Databricks Academy má bezplatný kurz o správě a zabezpečení pracovních prostorů Databricks.

Dodatečné zdroje

Databricks Academy nabízí bezplatný studijní program pro správce platforem. Než budete mít přístup k kurzu, musíte se nejprve zaregistrovat do Databricks Academy , pokud jste to ještě neudělali.

Můžete se také zaregistrovat a zúčastnit se školení pro správu živé platformy.

Odpovědi na mnoho otázek můžete získat také v komunitě Databricks.