Partekatu bidez

Introducción a la administración de Databricks

En este artículo se proporciona una introducción a los privilegios y responsabilidades de administrador de Azure Databricks.

Permisos de administrador de Azure necesarios

Para crear un área de trabajo de Azure Databricks o iniciar sesión en un área de trabajo de Azure Databricks como administrador del área de trabajo, debe ser una de las siguientes:

  • Un usuario con el rol Colaborador o Propietario de Azure en el nivel de suscripción.
  • Un usuario con una definición de rol personalizada que tiene la siguiente lista de permisos:
    • Microsoft.Databricks/workspaces/*
    • Microsoft.Resources/subscriptions/resourceGroups/read
    • Microsoft.Resources/subscriptions/resourceGroups/write
    • Microsoft.Databricks/accessConnectors/*
    • Microsoft.Compute/register/action
    • Microsoft.ManagedIdentity/register/action
    • Microsoft.Storage/register/action
    • Microsoft.Network/register/action
    • Microsoft.Resources/deployments/validate/action
    • Microsoft.Resources/deployments/write
    • Microsoft.Resources/deployments/read

Una vez concedido el rol de administrador del área de trabajo en Azure Databricks, los roles de Azure anteriores ya no son necesarios. El acceso de administrador del área de trabajo se conserva incluso si se quitan esos roles de Azure. Los administradores del área de trabajo también pueden conceder a usuarios adicionales el rol de administrador del área de trabajo en Azure Databricks, independientemente de los roles de Azure de esos usuarios.

Nota:

Los Microsoft.Compute/register/action, Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/register/action permisos no son necesarios si estos proveedores ya están registrados en la suscripción. Consulte Registro del proveedor de recursos.

Tipos de administrador de Databricks

Hay dos niveles principales de privilegios de administrador disponibles en la plataforma de Azure Databricks:

  • Administradores de cuentas: administre la cuenta de Azure Databricks, incluida la habilitación del catálogo de Unity, el aprovisionamiento de usuarios y la administración de identidades de nivel de cuenta.
  • Administradores de área de trabajo: gestionan identidades del área de trabajo, control de acceso, ajustes y características para áreas de trabajo individuales de la cuenta.

Además, a los usuarios se les pueden asignar estos roles de administrador específicos de características, que tienen conjuntos de privilegios más estrechos:

  • Administradores de Marketplace: administre el perfil de proveedor de Marketplace de Databricks de su cuenta, incluida la creación y administración de listados de Marketplace.
  • Administradores de metastore: Administran privilegios y propiedad para todos los objetos securitizables del metastore del Catálogo de Unity, como quién puede crear catálogos o consultar una tabla.

¿Qué son los administradores de cuentas?

Los administradores de cuentas tienen privilegios sobre toda la cuenta de Azure Databricks. Como administrador de cuentas, puede administrar la configuración de la cuenta, configurar el aprovisionamiento de usuarios, crear metastores para la habilitación del catálogo de Unity y administrar identidades en todas las áreas de trabajo de la cuenta.

Los administradores de cuentas también pueden delegar los roles de administrador de cuenta y administrador del área de trabajo a cualquier otro usuario.

Establecimiento de su primer administrador de cuenta

Nota:

La consola de la cuenta no está disponible en las regiones de Azure Government.

Para garantizar la seguridad y la integridad organizativa, Databricks requiere que un Administrador Global de Identificación de Microsoft Entra establezca el primer rol administrativo de la cuenta. Esto garantiza que no se cree un rol de administrador específico del servicio con privilegios elevados sin supervisión de un administrador con privilegios superiores.

Después de completar estos pasos, puede quitar el administrador global de la cuenta de Azure Databricks.

El administrador global debe usar las instrucciones siguientes:

  1. Inicie sesión en Azure Portal con sus credenciales de administrador global.
  2. Vaya a accounts.azuredatabricks.net e inicie sesión con el identificador de Entra de Microsoft. Azure Databricks crea automáticamente un rol de administrador de cuenta.
  3. Haga clic en Administración de usuarios.
  4. Busque y haga clic en el nombre de usuario del usuario al que desea delegar el rol de administrador de la cuenta.
  5. En la pestaña Roles , active Administrador de cuenta.

Una vez que otro usuario tiene el rol de administrador de la cuenta, el administrador global del id. de Microsoft Entra ya no debe estar implicado. El nuevo administrador de cuenta puede quitar el administrador global de la cuenta de Azure Databricks y asignar a otros usuarios el rol de administrador de la cuenta.

Acceso a la consola de la cuenta

La consola de la cuenta es donde los administradores de cuentas administran su cuenta de Azure Databricks.

Vista de consola de cuenta predeterminada

Los administradores de cuentas pueden acceder a la consola de la cuenta en https://accounts.azuredatabricks.net o haciendo clic en el selector del área de trabajo en la parte superior de la interfaz de usuario del área de trabajo y seleccionando Administrar cuenta.

Los usuarios de cuenta que no son administradores de cuentas solo pueden acceder a la cuenta desde https://accounts.azuredatabricks.net. Al iniciar sesión, la consola de la cuenta se abre con una lista de sus áreas de trabajo.

Nota:

Si está en varias instancias de Microsoft Entra ID, la URL de la consola de cuenta le llevará a la consola de cuenta de Azure Databricks en la instancia predeterminada. Para acceder a la consola de cuenta de un inquilino diferente, acceda a la consola de la cuenta desde un área de trabajo del inquilino preferido.

Responsabilidades del administrador de cuentas

Como administrador de la cuenta, sus responsabilidades incluyen:

Habilitación del catálogo de Unity

Nota:

Si la cuenta de Azure Databricks se creó después del 9 de noviembre de 2023, es posible que las áreas de trabajo tengan habilitado el catálogo de Unity de forma predeterminada. Para más información, consulte Habilitación automática de Unity Catalog.

Se necesita un administrador de cuenta para habilitar unity Catalog en su cuenta. El proceso implica la creación de un metastore de catálogo de Unity, que solo puede realizar un administrador de la cuenta.

Para obtener instrucciones sobre cómo habilitar el catálogo de Unity, consulte Introducción al uso del catálogo de Unity.

Administrar identidades

Los administradores de cuentas deben sincronizar su proveedor de identidades con Azure Databricks si procede. Consulte Sync users and groups from Microsoft Entra ID using SCIM (Sincronizar usuarios y grupos de Microsoft Entra ID mediante SCIM).

Si ha habilitado El catálogo de Unity para al menos un área de trabajo de la cuenta, las identidades (usuarios, grupos y entidades de servicio) deben administrarse en la consola de la cuenta. Los administradores de cuentas pueden conceder permisos y asignar áreas de trabajo a estas identidades.

Para obtener más información, consulte Administración de usuarios y grupos.

Monitorizar la cuenta con las tablas del sistema

Las tablas del sistema son un almacén analítico alojado en Azure Databricks, que contiene los datos operativos de su cuenta, ubicados en el catálogo system. Los administradores de cuentas pueden habilitar tablas del sistema para acceder a registros de auditoría, registros de uso facturables, datos de linaje, etc. Consulte Supervisión de la actividad de la cuenta con tablas del sistema.

Administrar la configuración de la cuenta

Los administradores de cuentas pueden administrar aspectos de su cuenta de Azure Databricks desde la consola de la cuenta mediante la sección Configuración . Esto incluye habilitar nuevas características en la cuenta y configurar listas de acceso IP.

Administrar vistas previas

Administre las versiones preliminares de Azure Databricks en el área de trabajo o en las áreas de trabajo de una organización. Las versiones preliminares proporcionan acceso anticipado a las características antes de que se publiquen para disponibilidad general (GA). Consulte Administración de versiones preliminares de Azure Databricks.

¿Qué son los administradores del área de trabajo?

Los administradores del área de trabajo tienen privilegios de administrador dentro de una sola área de trabajo. Pueden administrar identidades a nivel de espacio de trabajo, regular el uso de cómputo y habilitar y delegar el control de acceso basado en roles (solo plan Premium).

Acceso a la configuración del administrador

Los administradores del área de trabajo son los únicos usuarios que tienen acceso a la página de configuración de administrador del área de trabajo. Como administrador del área de trabajo, puede acceder a la configuración de administrador haciendo clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccionando Configuración.

Vista de configuración de administrador predeterminada

Responsabilidades del administrador del área de trabajo

Como administrador del área de trabajo, sus responsabilidades incluyen:

Administración de identidades en el área de trabajo

Si el área de trabajo está habilitada para Unity Catalog, se deben agregar identidades a nivel de cuenta. Los administradores del área de trabajo pueden asignar usuarios, grupos y entidades de servicio a su área de trabajo. Para obtener más información sobre cómo agregar y quitar identidades en un área de trabajo, consulte Administración de usuarios, entidades de servicio y grupos.

Nota:

Databricks Academy tiene un curso gratuito sobre Administración de identidades. Antes de poder acceder al curso, primero debe registrarse en Databricks Academy si aún no lo ha hecho.

Crear y administrar recursos de cómputo

Los administradores del área de trabajo pueden crear almacenes de SQL (un recurso de proceso que le permite ejecutar comandos SQL en objetos de datos dentro de Databricks SQL) y clústeres para sus usuarios del área de trabajo. Para obtener instrucciones sobre cómo crear almacenes de SQL, consulte Creación de un almacenamiento de SQL.

También es el trabajo del administrador del área de trabajo para regular cómo se usan los recursos de proceso en su área de trabajo. Los administradores del área de trabajo tienen las siguientes herramientas:

  • Limite las opciones de creación de clústeres de los usuarios del área de trabajo con directivas de clúster.
    • Databricks recomienda administrar todos los scripts de inicialización como scripts de inicialización con ámbito de clúster. En lugar de usar scripts de inicialización globales, administre scipts init mediante directivas de clúster.
  • Obtenga información sobre qué recursos de proceso tienen acceso al catálogo de Unity.

Nota:

Databricks Academy tiene un curso gratuito sobre administración de recursos de proceso.

Administración de características y configuración de áreas de trabajo

Los administradores del área de trabajo son responsables de administrar la configuración y el comportamiento del área de trabajo seleccionados. Para obtener información sobre otras opciones de configuración de área de trabajo disponibles, consulte Administración de la configuración del área de trabajo.

Nota:

Databricks Academy tiene un curso gratuito sobre administración y seguridad del área de trabajo de Databricks.

Recursos adicionales

Databricks Academy tiene una ruta de aprendizaje autodirigida gratuita para los administradores de plataformas. Antes de poder acceder al curso, primero debe registrarse en Databricks Academy si aún no lo ha hecho.

También puede registrarse para asistir a un entrenamiento de administración de plataformas en directo.

También puede obtener respuestas a muchas preguntas de la comunidad de Databricks.

  • Last updated on