Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Einführung in Azure Databricks-Administratorrechte und -zuständigkeiten.
Erforderliche Azure-Administratorberechtigungen
Um einen Azure Databricks-Arbeitsbereich zu erstellen oder sich bei einem Azure Databricks-Arbeitsbereich als Arbeitsbereichadministrator anzumelden, müssen Sie einer der folgenden Sein:
- Ein Benutzer mit der Rolle "Azure-Mitwirkender " oder "Besitzer" auf Abonnementebene.
- Ein Benutzer mit einer benutzerdefinierten Rollendefinition mit der folgenden Berechtigungsliste:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
Nachdem Sie die Rolle des Arbeitsbereichsadministrators in Azure Databricks erhalten haben, sind die oben genannten Azure-Rollen nicht mehr erforderlich. Sie behalten den Administratorzugriff des Arbeitsbereichs auch dann bei, wenn diese Azure-Rollen entfernt werden. Arbeitsbereichsadministratoren können auch zusätzliche Benutzer die Arbeitsbereichsadministratorrolle in Azure Databricks gewähren, unabhängig von den Azure-Rollen dieser Benutzer.
Hinweis
Die Berechtigungen Microsoft.Compute/register/action, Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/register/action sind nicht erforderlich, wenn diese Anbieter bereits im Abonnement registriert sind. Siehe Resource Provider registrieren.
Databricks-Administratortypen
Auf der Azure Databricks-Plattform gibt es zwei Hauptstufen von Administratorrechten:
- Kontoadministratoren: Verwalten Sie das Azure Databricks-Konto, einschließlich der Aktivierung des Unity-Katalogs, der Benutzerbereitstellung und der Identitätsverwaltung auf Kontoebene.
- Arbeitsbereichsadministratoren: Verwalten von Arbeitsbereichsidentitäten, Zugriffssteuerung, Einstellungen und Features für einzelne Arbeitsbereiche im Konto.
Darüber hinaus können Benutzern diese featurespezifischen Administratorrollen zugewiesen werden, die schmalere Gruppen von Berechtigungen haben:
- Marketplace-Administratoren: Verwalten Sie das Databricks Marketplace-Anbieterprofil ihres Kontos, einschließlich der Erstellung und Verwaltung von Marketplace-Einträgen.
- Metastore-Administratoren: Verwalten von Berechtigungen und Besitz für alle sicherungsfähigen Objekte in einem Unity-Katalog-Metastore, z. B. wer Kataloge erstellen oder eine Tabelle abfragen kann.
- Abrechnungsadministratoren: Anzeigen von Budgets und Verwalten der serverlosen Budgetrichtlinien über das gesamte Konto hinweg.
Was sind Kontoadministratoren?
Kontoadministratoren verfügen über Berechtigungen für das gesamte Azure Databricks-Konto. Als Kontoadministrator können Sie Kontoeinstellungen verwalten, die Benutzerbereitstellung einrichten, Metastores für die Unity-Katalog-Aktivierung erstellen und Identitäten in allen Arbeitsbereichen des Kontos verwalten.
Kontoadministratoren können auch die Administrator- und Arbeitsbereichsadministratorrollen des Kontos an jeden anderen Benutzer delegieren.
Einrichten Ihres ersten Kontoadministrators
Hinweis
Die Kontokonsole ist in Azure Government-Regionen nicht verfügbar.
Für Sicherheit und Organisationsintegrität setzt Databricks voraus, dass ein globaler Microsoft Entra ID-Administrator die erste Kontoadministratorrolle Ihres Kontos einrichtet. Dadurch wird sichergestellt, dass eine dienstspezifische Administratorrolle mit hohen Berechtigungen nicht ohne die Aufsicht eines höher privilegierten Administrators erstellt wird.
Nach Abschluss dieser Schritte können Sie den globalen Administrator aus dem Azure Databricks-Konto entfernen.
Der globale Administrator sollte die folgenden Anweisungen verwenden:
- Melden Sie sich mit Ihren anmeldeinformationen für den globalen Administrator bei Ihrem Azure-Portal an.
- Wechseln Sie zu accounts.azuredatabricks.net , und melden Sie sich mit der Microsoft Entra-ID an. Azure Databricks erstellt automatisch eine Kontoadministratorrolle für Sie.
- Klicken Sie auf "Benutzerverwaltung".
- Suchen Und klicken Sie auf den Benutzernamen des Benutzers, an den Sie die Kontoadministratorrolle delegieren möchten.
- Aktivieren Sie auf der Registerkarte "Rollen " den Kontoadministrator.
Sobald ein anderer Benutzer über die Kontoadministratorrolle verfügt, muss der globale Microsoft Entra ID-Administrator nicht mehr einbezogen werden. Der neue Kontoadministrator kann den globalen Administrator aus dem Azure Databricks-Konto entfernen und anderen Benutzern die Kontoadministratorrolle zuweisen.
Zugreifen auf die Kontokonsole
In der Kontokonsole verwalten Kontoadministratoren ihr Azure Databricks-Konto.
Kontoadministratoren können auf die Kontokonsole zugreifen https://accounts.azuredatabricks.net oder indem Sie oben auf der Arbeitsbereichsoberfläche auf die Arbeitsbereichsauswahl klicken und "Konto verwalten" auswählen.
Kontobenutzer, die keine Kontoadministratoren sind, können nur von https://accounts.azuredatabricks.net auf das Konto zugreifen. Bei der Anmeldung wird die Kontokonsole mit einer Liste ihrer Arbeitsbereiche geöffnet.
Hinweis
Wenn Sie sich in mehreren Microsoft Entra ID-Mandanten befinden, führt die Kontokonsolen-URL Sie zur Azure Databricks-Kontokonsole Ihres Standardmandanten. Um auf die Kontokonsole eines anderen Mandanten zuzugreifen, greifen Sie in einem Arbeitsbereich in Ihrem bevorzugten Mandanten auf die Kontokonsole zu.
Verantwortlichkeiten des Kontoadministrators
Als Kontoadministrator umfassen Ihre Zuständigkeiten Folgendes:
- Aktivieren des Unity-Katalogs
- Verwalten von Identitäten
- Überwachen von Kontonutzungsprotokollen
- Verwalten von Einstellungen auf Kontoebene
- Verwalten von Databricks Previews
Aktivieren des Unity-Katalogs
Hinweis
Wenn Ihr Azure Databricks-Konto nach dem 9. November 2023 erstellt wurde, kann Unity Catalog in Ihren Arbeitsbereichen möglicherweise standardmäßig aktiviert sein. Weitere Informationen finden Sie unter Automatische Aktivierung von Unity Catalog.
Ein Kontoadministrator ist erforderlich, um Unity-Katalog in Ihrem Konto zu aktivieren. Der Vorgang umfasst das Erstellen eines Unity-Katalogmetastores, der nur von einem Kontoadministrator ausgeführt werden kann.
Anweisungen zum Aktivieren des Unity-Katalogs finden Sie unter "Erste Schritte mit Unity-Katalog".
Verwalten von Identitäten
Kontoadministratoren sollten ihren Identitätsanbieter bei Bedarf mit Azure Databricks synchronisieren. Siehe hierzu Synchronisieren von Benutzern und Gruppen aus Microsoft Entra ID mithilfe von SCIM.
Wenn Sie den Unity-Katalog für mindestens einen Arbeitsbereich in Ihrem Konto aktiviert haben, sollten Identitäten (Benutzer, Gruppen und Dienstprinzipale) in der Kontokonsole verwaltet werden. Kontoadministratoren können Berechtigungen erteilen und Diesen Identitäten Arbeitsbereiche zuweisen.
Weitere Informationen finden Sie unter Verwalten von Benutzern und Gruppen.
Überwachen des Kontos mit Systemtabellen
Systemtabellen sind ein von Azure Databricks gehosteter analytischer Speicher der operativen Daten Ihrer Firma, die im system Katalog zu finden sind. Kontoadministratoren können Systemtabellen aktivieren, um Zugriff auf Überwachungsprotokolle, abrechnungsfähige Nutzungsprotokolle, Abstammungsdaten und vieles mehr zu ermöglichen. Siehe "Überwachen der Kontoaktivität mit Systemtabellen".
Verwalten von Kontoeinstellungen
Kontoadministratoren können Aspekte ihres Azure Databricks-Kontos über die Kontokonsole über den Abschnitt "Einstellungen" verwalten. Dies umfasst das Aktivieren neuer Features für das gesamte Konto und das Konfigurieren von IP-Zugriffslisten.
Verwalten von Vorschauen
Verwalten Sie Azure Databricks Previews in Ihrem Arbeitsbereich oder den Arbeitsbereichen einer Organisation. Vorschauen bieten frühzeitigen Zugriff auf Features, bevor sie für die allgemeine Verfügbarkeit (GA) veröffentlicht werden. Siehe Verwalten von Azure Databricks-Vorschauen.
Was sind Arbeitsbereichsadministratoren?
Arbeitsbereichsadministratoren verfügen über Administratorrechte innerhalb eines einzelnen Arbeitsbereichs. Sie können Identitäten auf Arbeitsbereichsebene verwalten, die Computeverwendung regeln und rollenbasierte Zugriffssteuerung aktivieren und delegieren (nur Premium-Plan ).
Zugreifen auf die Administratoreinstellungen
Arbeitsbereichsadministratoren sind die einzigen Benutzer, die Zugriff auf die Administratoreinstellungenseite des Arbeitsbereichs haben. Als Arbeitsbereichsadministrator können Sie auf Administratoreinstellungen zugreifen, indem Sie in der oberen Leiste des Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen klicken und "Einstellungen" auswählen.
Zuständigkeiten des Arbeitsbereichadministrators
Als Arbeitsbereichsadministrator umfassen Ihre Zuständigkeiten Folgendes:
- Verwalten von Identitäten in Ihrem Arbeitsbereich
- Erstellen und Verwalten von Computeressourcen
- Verwalten von Arbeitsbereichsfunktionen und -einstellungen
Verwalten von Identitäten in Ihrem Arbeitsbereich
Wenn Ihr Arbeitsbereich für den Unity-Katalog aktiviert ist, sollten Identitäten auf Kontoebene hinzugefügt werden. Arbeitsbereichsadministratoren können dann Benutzern, Gruppen und Dienstprinzipale ihren Arbeitsbereich zuweisen. Weitere Informationen zum Hinzufügen und Entfernen von Identitäten in einem Arbeitsbereich finden Sie unter Verwalten von Benutzern, Dienstprinzipalen und Gruppen.
Hinweis
Databricks Academy hat einen kostenlosen Kurs zur Identitätsverwaltung. Bevor Sie auf den Kurs zugreifen können, müssen Sie sich zuerst für Databricks Academy registrieren , wenn Sie es noch nicht getan haben.
Erstellen und Verwalten von Computeressourcen
Arbeitsbereichsadministratoren können SQL-Lagerhäuser (eine Computeressource, mit der Sie SQL-Befehle für Datenobjekte in Databricks SQL ausführen) und Cluster für ihre Arbeitsbereichsbenutzer erstellen können. Anweisungen zum Erstellen von SQL-Lagerhäusern finden Sie unter Erstellen eines SQL-Lagerlagers.
Es ist auch der Auftrag des Arbeitsbereichsadministrators, zu steuern, wie Computeressourcen in ihrem Arbeitsbereich verwendet werden. Arbeitsbereichsadministratoren verfügen über die folgenden Tools:
- Beschränken Sie die Clustererstellungsoptionen von Arbeitsbereichsbenutzern mit Clusterrichtlinien.
- Databricks empfiehlt, alle Init-Skripte als clusterbezogene Init-Skripte zu verwalten. Anstatt globale Init-Skripts zu verwenden, verwalten Sie init Scipts mithilfe von Clusterrichtlinien.
- Erfahren Sie, welche Computeressourcen über Unity-Katalogzugriff verfügen.
Hinweis
Databricks Academy verfügt über einen kostenlosen Kurs zur Compute Resources Administration.
Verwalten von Arbeitsbereichsfunktionen und -einstellungen
Arbeitsbereichsadministratoren sind für die Verwaltung des ausgewählten Arbeitsbereichverhaltens und der Einstellungen verantwortlich. Informationen zu anderen verfügbaren Arbeitsbereichseinstellungen finden Sie unter Verwalten von Arbeitsbereichseinstellungen.
Hinweis
Databricks Academy hat einen kostenlosen Kurs zu Databricks Workspace Administration and Security.
Weitere Ressourcen
Databricks Academy verfügt über einen kostenlosen Selbstlernpfad für Plattformadministratoren. Bevor Sie auf den Kurs zugreifen können, müssen Sie sich zuerst für Databricks Academy registrieren , wenn Sie es noch nicht getan haben.
Sie können sich auch registrieren, um an einer Live-Plattformverwaltungsschulung teilzunehmen.
Sie können auch Antworten auf viele Fragen in der Databricks Community erhalten.