Introducción a la administración de Azure Databricks

  • Artículo

En este artículo se proporciona una introducción a los privilegios y responsabilidades del administrador de Azure Databricks.

Permisos de administrador de Azure necesarios

Para administrar el servicio de Azure Databricks, necesita los siguientes permisos de administrador de Azure:

  • Un usuario con el rol de colaborador de Azure o propietario que pueda ver y realizar cambios en el servicio de Azure Databricks, la suscripción de Azure y las configuraciones del registro de diagnóstico.
  • Administradores de Microsoft Entra ID con permiso para habilitar el acceso condicional de Microsoft Entra ID (anteriormente Azure Active Directory).
  • Para crear áreas de trabajo de Azure Databricks, debe cumplir uno de los requisitos siguientes:
    • Debe ser colaborador o propietario de Azure.
    • El proveedor de recursos Microsoft.ManagedIdentity debe estar registrado en la suscripción. Consulte Registro del proveedor de recursos en la documentación de Azure.

Tipos de administrador de Databricks

Hay dos niveles principales de privilegios de administrador disponibles en la plataforma de Azure Databricks:

  • Administradores de cuentas: administran la cuenta de Azure Databricks, incluida la habilitación del catálogo de Unity, el aprovisionamiento de usuarios y la administración de identidades de nivel de cuenta.

  • Administradores de áreas de trabajo: administran las identidades del área de trabajo, el control de acceso, la configuración y las características de las áreas de trabajo individuales de la cuenta.

Además, a los usuarios se les pueden asignar estos roles de administrador específicos de características, que tienen conjuntos de privilegios más estrechos:

  • Administradores de Marketplace: administre el perfil de proveedor de Marketplace de Databricks de su cuenta, incluida la creación y administración de listados de Marketplace.
  • Administradores de Metastore: administre los privilegios y la propiedad de todos los objetos asegurables dentro de una metastore de Unity Catalog, como quién puede crear catálogos o consultar una tabla.

¿Qué son los administradores de cuentas?

Los administradores de cuentas tienen privilegios sobre toda la cuenta de Azure Databricks. Como administrador de cuentas, puede administrar la configuración de la cuenta, configurar el aprovisionamiento de usuarios, crear metastores para la habilitación del catálogo de Unity y administrar identidades en todas las áreas de trabajo de la cuenta.

Los administradores de cuentas también pueden delegar los roles de administrador de cuentas y administrador de áreas de trabajo a cualquier otro usuario.

Establecimiento de su primer administrador de cuentas

Nota:

Debe tener al menos un área de trabajo de Azure Databricks implementada en su cuenta para poder establecer un administrador de cuenta.

Para habilitar la consola de la cuenta y establecer el primer administrador de la cuenta, deberá interactuar con alguien que tenga el rol de administrador global de Microsoft Entra ID (anteriormente Azure Active Directory). Con fines de seguridad, solo alguien con el rol administrador global de Azure AD tiene permisos para asignar el primer rol de administrador de cuentas. Después de completar estos pasos, puede quitar el administrador global de la cuenta de Azure Databricks.

El administrador global debe usar las instrucciones siguientes:

  1. Inicie sesión en Azure Portal con sus credenciales de administrador global.
  2. Vaya a accounts.azuredatabricks.net e inicie sesión con Microsoft Entra ID. Azure Databricks crea automáticamente un rol de administrador de cuenta.
  3. Haga clic en Administración de usuarios.
  4. Busque y haga clic en el nombre de usuario del usuario al que desea delegar el rol de administrador de la cuenta.
  5. En la pestaña Roles, active Administrador de cuenta.

Una vez que otro usuario tiene el rol de administrador de la cuenta, el administrador global de Microsoft Entra ID ya no debe participar. El nuevo administrador de la cuenta puede quitar el administrador global de la cuenta de Azure Databricks y asignar a otros usuarios el rol de administrador de la cuenta.

Acceso a la consola de la cuenta

La consola de la cuenta es donde los administradores de cuentas administran sus cuentas de Azure Databricks.

Default account console view

Los administradores de cuentas pueden acceder a la consola de la cuenta en https://accounts.azuredatabricks.net o haciendo clic en su dirección de correo electrónico en la parte superior de la interfaz de usuario del área de trabajo y seleccionando Administrar cuenta.

Los usuarios de la cuenta que no son administradores de cuentas solo pueden acceder a la cuenta desde https://accounts.azuredatabricks.net. Después de iniciar sesión, la consola de la cuenta se abre con una lista de sus áreas de trabajo.

Nota:

Si está en varios inquilinos de Microsoft Entra ID, la dirección URL de la consola de la cuenta le llevará a la consola de la cuenta de Azure Databricks del inquilino predeterminado. Para acceder a la consola de la cuenta de un inquilino diferente, acceda a la consola de la cuenta desde un área de trabajo del inquilino preferido.

Responsabilidades del administrador de cuentas

Como administrador de cuentas, sus responsabilidades incluyen:

Habilitación del catálogo de Unity

Nota:

Si la cuenta de Azure Databricks se creó después del 9 de noviembre de 2023, es posible que las áreas de trabajo tengan habilitado Unity Catalog de forma predeterminada. Para obtener más información, consulte Habilitación automática de Unity Catalog.

Se necesita un administrador de cuentas para habilitar el catálogo de Unity en su cuenta. El proceso implica la creación de un metastore de catálogos de Unity, que solo puede realizar un administrador de cuentas.

Para obtener instrucciones sobre cómo habilitar el catálogo de Unity, consulte Introducción al uso del catálogo de Unity.

Administración de identidades

Los administradores de cuentas deben sincronizar su proveedor de identidades con Azure Databricks si procede. Consulte Sincronización de usuarios y grupos desde Microsoft Entra ID.

Si ha habilitado el catálogo de Unity para al menos un área de trabajo de la cuenta, las identidades (usuarios, grupos y entidades de servicio) deben administrarse en la consola de la cuenta. Los administradores de cuentas pueden conceder permisos y asignar áreas de trabajo a estas identidades.

Para más información, consulte Administración de usuarios y grupos.

Supervisar la cuenta con tablas del sistema

Las tablas de sistema son un almacén analítico hospedado en Azure Databricks de los datos operativos de su cuenta que se encuentran en el catálogo system. Los administradores de cuentas pueden habilitar tablas del sistema para acceder a registros de auditoría, registros de uso facturable, datos de linaje, etc. Consulta Supervisar el uso con las tablas del sistema.

Administración de la configuración de la cuenta

Los administradores de cuentas pueden administrar aspectos de su cuenta de Azure Databricks desde la consola de la cuenta mediante la sección Configuración. Esto incluye habilitar nuevas características en la cuenta y configurar listas de acceso IP.

¿Qué son los administradores de áreas de trabajo?

Los administradores de áreas de trabajo tienen privilegios de administrador dentro de una sola área de trabajo. Pueden administrar identidades de nivel de área de trabajo, regular el uso de proceso, y habilitar y delegar el control de acceso basado en roles (solo plan Premium).

Acceso a la configuración del administrador

Los administradores de áreas de trabajo son los únicos usuarios que tienen acceso a la página de configuración de administrador de áreas de trabajo. Como administrador de áreas de trabajo, puede acceder a la configuración del administrador haciendo clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccionando Configuración de administración.

Default admin settings view

Responsabilidades del administrador de áreas de trabajo

Como administrador de áreas de trabajo, sus responsabilidades incluyen:

Administración de identidades en el área de trabajo

Si el área de trabajo está habilitada para el catálogo de Unity, las identidades deben añadirse a nivel de cuenta. A continuación, los administradores de áreas de trabajo pueden asignar usuarios, grupos y entidades de servicio a sus áreas de trabajo. Para más información sobre cómo agregar y quitar identidades en un área de trabajo, consulte Administración de usuarios, entidades de servicio y grupos.

Nota:

Databricks Academy tiene un curso gratuito sobre administración de identidades. Para poder acceder al curso, primero debe registrarse en Databricks Academy si aún no lo ha hecho.

Creación y administración de recursos de proceso

Los administradores de áreas de trabajo pueden crear almacenes de SQL (un recurso de proceso que le permite ejecutar comandos SQL en objetos de datos de Databricks SQL) y clústeres para sus usuarios de áreas de trabajo. Para obtener instrucciones sobre cómo crear almacenes de SQL, consulte Configuración de almacenes SQL.

También es el administrador de áreas de trabajo quién regula cómo se usan los recursos de proceso en su área de trabajo. Los administradores de áreas de trabajo tienen las siguientes herramientas:

  • Limite las opciones de creación de clústeres de los usuarios del área de trabajo con directivas de clúster.
    • Databricks recomienda administrar todos los scripts de inicialización como scripts de inicialización con ámbito de clúster. En lugar de usar scripts de inicialización globales, administre los scripts de inicialización mediante directivas de clúster.
  • Obtenga información sobre qué recursos de proceso tienen acceso al catálogo de Unity.

Nota:

Databricks Academy tiene un curso gratuito sobre administración de recursos de proceso.

Administración de características y configuraciones de áreas de trabajo

Los administradores de áreas de trabajo son responsables de administrar la configuración y el comportamiento del área de trabajo seleccionada. Para obtener información sobre otras opciones de configuración del área de trabajo disponibles, consulte Administración de la configuración del área de trabajo.

Nota:

Databricks Academy tiene un curso gratuito sobre administración y seguridad de áreas de trabajo de Databricks.

Recursos adicionales

Databricks Academy tiene una ruta de aprendizaje autodirigida gratuita para los administradores de plataformas. Para poder acceder al curso, primero debe registrarse en Databricks Academy si aún no lo ha hecho.

También puede registrarse para asistir a una formación de administración de plataformas en directo.