Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk bemutatja Azure Databricks rendszergazdai jogosultságokat és feladatokat.
Szükséges Azure rendszergazdai engedélyek
A Azure Databricks használatához szükséges Azure engedélyek attól függenek, hogy létrehoz-e munkaterületet, vagy rendszergazdaként bejelentkezik-e egy meglévő munkaterületre.
A munkaterület létrehozásához szükséges engedélyek
Azure Databricks munkaterület létrehozásához az alábbiak egyikének kell lennie:
- A Azure Közreműködő vagy Tulajdonos szerepkörrel rendelkező felhasználó az előfizetés szintjén.
- Egyéni szerepkördefinícióval rendelkező felhasználó, amely az alábbi engedélylistával rendelkezik:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
Megjegyzés:
A Microsoft.Compute/register/action, Microsoft.ManagedIdentity/register/action, Microsoft.Storage/register/action, Microsoft.Network/register/action engedélyek nem szükségesek, ha ezek a szolgáltatók már regisztrálva vannak az előfizetésben. Lásd: Erőforrás-szolgáltató regisztrálása.
Munkaterület-rendszergazdaként való bejelentkezéshez szükséges engedélyek
Ha még nem kapta meg a munkaterület-rendszergazdai szerepkört Azure Databricks, a munkaterület-rendszergazdai hozzáférést az alábbi Azure szerepkörök egyikével történő bejelentkezéssel szerezheti meg:
- A Azure Közreműködő vagy Tulajdonos szerepkörrel rendelkező felhasználó az előfizetés szintjén.
- Egyéni szerepkördefinícióval rendelkező felhasználó, amely a következő engedélyekkel rendelkezik:
Microsoft.Databricks/workspaces/*Microsoft.Databricks/accessConnectors/*
A bejelentkezés és a munkaterület rendszergazdai hozzáférésének megszerzése után ezek a Azure szerepkörök már nem szükségesek. Akkor is megtarthatja a munkaterület rendszergazdai hozzáférését, ha a Azure szerepkörök el lettek távolítva. Nincs szüksége ezekre a Azure szerepkörökre, ha a munkaterület-rendszergazdai szerepkört egy munkaterület-rendszergazda vagy fiókadminisztrátor rendeli hozzá a Azure Databricks-fiókjában.
Databricks-rendszergazdai típusok
A rendszergazdai jogosultságok két fő szintje érhető el a Azure Databricks platformon:
- Fiókgazdák: A Azure Databricks fiók kezelése, beleértve a Unity Catalog engedélyezését, a felhasználók kiépítését és a fiókszintű identitáskezelést.
- Munkaterület-rendszergazdák: Munkaterületi identitások, hozzáférés-vezérlés, beállítások és funkciók kezelése a fiókban lévő egyes munkaterületekhez.
Emellett a felhasználók hozzárendelhetők ezekhez a funkcióspecifikus rendszergazdai szerepkörökhöz, amelyek a jogosultságok szűkebb halmazával rendelkeznek:
- Marketplace-rendszergazdák: Kezelheti fiókjuk Databricks Marketplace-szolgáltatói profilját, beleértve a Marketplace-listák létrehozását és kezelését.
- Metaadattár-rendszergazdák: A Unity Catalog metaadattárában lévő összes biztonságos objektum jogosultságainak és tulajdonjogának kezelése, például ki hozhat létre katalógusokat vagy kérdezhet le egy táblát.
- Számlázási rendszergazdák: Költségvetések megtekintése és a kiszolgáló nélküli használati szabályzatok kezelése a fiókon belül.
Mik azok a fiókadminisztrátorok?
Az adminisztrátorok teljes körű jogosultsággal rendelkeznek az Azure Databricks fiók fölött. Fiókadminisztrátorként kezelheti a fiókbeállításokat, beállíthatja a felhasználók kiépítését, metaadattárakat hozhat létre a Unity Catalog engedélyezéséhez, és kezelheti a fiók összes munkaterületén található identitásokat.
A fiókadminisztrátorok a fiókadminisztrátori és munkaterület-rendszergazdai szerepköröket bármely más felhasználónak delegálhatják.
Az első fiókadminisztrátor létrehozása
Megjegyzés:
A fiókkonzol nem érhető el Azure Government régiókban.
A biztonság és a szervezeti integritás érdekében a Databricks megköveteli, hogy egy Microsoft Entra ID globális rendszergazda hozza létre a fiók első fiókadminisztrátori szerepkörét. Ez biztosítja, hogy a magas jogosultságú szolgáltatásspecifikus rendszergazdai szerepkörök ne hozhatók létre a magasabb jogosultságú rendszergazdák felügyelete nélkül.
A lépések elvégzése után eltávolíthatja a globális rendszergazdát a Azure Databricks-fiókból.
A globális rendszergazdának a következő utasításokat kell használnia:
- Jelentkezzen be az Azure Portálra a globális rendszergazdai hitelesítő adataival.
- Lépjen be a accounts.azuredatabricks.net oldalra, és jelentkezzen be a Microsoft Entra ID-vel. Azure Databricks automatikusan létrehoz egy fiókadminisztrátori szerepkört.
- Kattintson a Felhasználókezelés elemre.
- Keresse meg és kattintson annak a felhasználónak a felhasználónevére, akire delegálni szeretné a fiókadminisztrátori szerepkört.
- A Szerepkörök lapon kapcsolja be a Fiókadminisztrátor funkciót.
Ha egy másik felhasználó rendelkezik a fiókadminisztrátori szerepkörével, a Microsoft Entra ID globális rendszergazdát már nem kell bevonni. Az új fiókadminisztrátor eltávolíthatja a globális rendszergazdát a Azure Databricks-fiókból, és hozzárendelheti más felhasználókhoz a fiókadminisztrátori szerepkört.
Hozzáférés a fiókkonzolhoz
A fiókkonzolon a fiókadminisztrátor felügyeli Azure Databricks fiókját.
A fiókadminisztrátor a fiókkonzolt https://accounts.azuredatabricks.net a munkaterület felhasználói felületének tetején található munkaterület-választóra kattintva és a Fiók kezelése elemre kattintva érheti el.
Azok a fiókfelhasználók, akik nem fiókadminisztrátorok, csak innen férhetnek hozzá a fiókhoz https://accounts.azuredatabricks.net. Bejelentkezéskor a fiókkonzol megnyílik a munkaterületek listájához.
Megjegyzés:
Ha több Microsoft Entra ID bérlőben van, a fiókkonzol URL-címe az alapértelmezett bérlő Azure Databricks fiókkonzoljára irányítja. Egy másik bérlő fiókkonzoljának eléréséhez lépjen a fiókkonzolhoz az előnyben részesített bérlő egy munkaterületén belülről.
Fiókadminisztrátori feladatok
Fiókadminisztrátorként feladatai a következők:
- A Unity-katalógus engedélyezése
- Identitások kezelése
- Fiókhasználati naplók figyelése
- Fiókszintű beállítások kezelése
- A Databricks előzetes verziójának kezelése
Unity-katalógus engedélyezése
Megjegyzés:
Ha Azure Databricks fiókja 2023. november 9. után lett létrehozva, a munkaterületeken alapértelmezés szerint engedélyezve lehet a Unity Katalógus. További információ: A Unity Katalógus automatikus engedélyezése.
Fiókadminisztrátorra van szükség a Unity Catalog fiókban való engedélyezéséhez. A folyamat magában foglalja egy Unity Catalog-metaadattár létrehozását, amelyet csak egy fiókadminisztrátor végezhet el.
A Unity Catalog engedélyezésével kapcsolatos utasításokért tekintse meg a Unity Catalog használatának első lépéseit.
Identitások kezelése
A fiókadminisztrátornak szükség esetén szinkronizálnia kell identitásszolgáltatóját Azure Databricks. Lásd: Felhasználók és csoportok szinkronizálása a Microsoft Entra ID-ből SCIM használatával.
Ha engedélyezte a Unity-katalógust legalább egy munkaterületen a fiókjában, az identitásokat (felhasználókat, csoportokat és szolgáltatásneveket) a fiókkonzolon kell felügyelni. A fiókgazdák engedélyeket adhatnak, és munkaterületeket rendelhetnek ezekhez az identitásokhoz.
További információ: Felhasználók és csoportok kezelése.
Fiók figyelése rendszertáblákkal
A rendszertáblák a fiók működési adatainak Azure Databricks által üzemeltetett elemzési tárai, amelyek a system katalógusban találhatók. A fiókadminisztrátorok engedélyezhetik a rendszertáblákat, hogy hozzáférjenek az auditnaplókhoz, a számlázható használati naplókhoz, a származási adatokhoz és egyebekhez. Lásd : Rendszertáblák referenciája.
Fiókbeállítások kezelése
A fiókgazdák a fiókkonzolon kezelhetik Azure Databricks fiókjuk szempontjait a Settings szakasz használatával. Ez magában foglalja az új funkciók engedélyezését a fiókon belül, valamint az IP-hozzáférési listák konfigurálását.
Előzetes verziók kezelése
Azure Databricks előnézetek kezelése a munkaterületen vagy egy szervezet munkaterületén. Az előzetes verziók korai hozzáférést biztosítanak a funkciókhoz, mielőtt általánosan elérhetőek lennének. Lásd: Manage Azure Databricks előzetes verzió.
Mik azok a munkaterület-rendszergazdák?
A munkaterület-rendszergazdák rendszergazdai jogosultságokkal rendelkeznek egyetlen munkaterületen belül. Kezelhetik a munkaterületszintű identitásokat, szabályozhatják a számítási használatot, és engedélyezhetik és delegálhatják a szerepköralapú hozzáférés-vezérlést (csak Prémium csomag esetén).
A munkaterületet létrehozó fiókadminisztrátor automatikusan munkaterület-rendszergazda az adott munkaterületen. Más fiókadminisztrátorok alapértelmezés szerint nem férnek hozzá a munkaterülethez, de a fiók bármely munkaterületén megadhatják maguknak vagy bármely felhasználónak a munkaterület rendszergazdai szerepkörét. Lásd: Felhasználó hozzárendelése munkaterülethez.
A munkaterület rendszergazdai szerepkörének hozzárendelése
A munkaterület rendszergazdái a admins munkaterület rendszercsoportjának tagjai. Ez egy fenntartott csoport, amely nem törölhető, és nem támogatja a gyermekcsoportok tagként való hozzáadását.
A munkaterület rendszergazdai szerepköre egyéni felhasználókhoz és szolgáltatás azonosítókhoz rendelhető hozzá. A munkaterület-rendszergazdai szerepkör nem rendelhető hozzá egy csoporthoz.
A munkaterület-rendszergazdai szerepkör felhasználóhoz való hozzárendelésével kapcsolatban lásd : Munkaterület-rendszergazdai szerepkör hozzárendelése egy felhasználóhoz.
A munkaterület-rendszergazdai szerepkör szolgáltatásnévhez való hozzárendelésével kapcsolatban lásd: Munkaterület-rendszergazdai szerepkör hozzárendelése szolgáltatásnévhez.
A rendszergazdai beállítások elérése
A munkaterület rendszergazdái az egyetlen felhasználók, akik hozzáférnek a munkaterület rendszergazdai beállításainak lapjához. Munkaterület-rendszergazdaként a rendszergazdai beállítások eléréséhez kattintson a felhasználónevére a Azure Databricks munkaterület felső sávjában, és válassza a Settings lehetőséget.
Munkaterület rendszergazdai feladatai
Munkaterület-rendszergazdaként a feladatai a következők:
- Identitások kezelése a munkaterületen
- Számítási erőforrások létrehozása és kezelése
- Munkaterület funkcióinak és beállításainak kezelése
Identitások kezelése a munkaterületen
Ha a munkaterület engedélyezve van a Unity Cataloghoz, az identitásokat a fiók szintjén kell hozzáadni. A munkaterület rendszergazdái ezután felhasználókat, csoportokat és szolgáltatásneveket rendelhetnek a munkaterülethez. Az identitások munkaterületen való hozzáadásáról és eltávolításáról további információt a Felhasználók, szolgáltatásnevek és csoportok kezelése című témakörben talál.
Megjegyzés:
A Databricks Academy ingyenes tanfolyamot biztosít az identitáskezelésről. A kurzus elérése előtt regisztrálnia kell a Databricks Akadémiára , ha még nem tette meg.
Számítási erőforrások létrehozása és kezelése
A munkaterület adminisztrátorok sql-raktárakat hozhatnak létre (olyan számítási erőforrás, amely lehetővé teszi, hogy SQL-parancsokat futtassanak a Databricks SQL-en belüli adatobjektumokon) és fürtöket a munkaterület felhasználói számára. Az SQL-raktárak létrehozásával kapcsolatos utasításokért lásd: SQL Warehouse létrehozása.
Emellett a munkaterület rendszergazdájának feladata a számítási erőforrások munkaterületen való használatának szabályozása. A munkaterület rendszergazdái a következő eszközökkel rendelkeznek:
- A munkaterület felhasználói fürtlétrehozási beállításainak korlátozása fürtszabályzatokkal.
- A Databricks azt javasolja, hogy az összes inicializáló szkriptet klaszter szintű szkriptként kezelje. Globális init-szkriptek használata helyett fürtszabályzatokkal kezelheti az init scipteket.
- Megtudhatja, hogy mely számítási erőforrások rendelkeznek Unity Catalog-hozzáféréssel.
Megjegyzés:
A Databricks Academy ingyenes tanfolyamot biztosít a számítási erőforrások felügyeletéről.
Munkaterületek funkcióinak és beállításainak kezelése
A munkaterület rendszergazdái felelősek a kiválasztott munkaterület viselkedésének és beállításainak kezeléséért. Az egyéb elérhető munkaterület-beállításokról további információt a Munkaterület beállításainak kezelése című témakörben talál.
Megjegyzés:
A Databricks Academy ingyenes tanfolyamot biztosít a Databricks-munkaterület felügyeletéről és biztonságáról.
További erőforrások
A Databricks Academy ingyenes, saját tempójú képzési tervvel rendelkezik a platformgazdák számára. A kurzus elérése előtt regisztrálnia kell a Databricks Akadémiára , ha még nem tette meg.
Regisztrálhat egy élő platformfelügyeleti képzésre is.
A Databricks-közösség számos kérdésére is választ kaphat.