Introduzione all'amministrazione di Azure Databricks

  • Articolo

Questo articolo offre un'introduzione ai privilegi e alle responsabilità di amministratore di Azure Databricks.

Autorizzazioni di amministratore di Azure necessarie

Per gestire il servizio Azure Databricks, sono necessarie le autorizzazioni di amministratore di Azure seguenti:

  • Un utente con il ruolo Proprietario o Collaboratore di Azure che può visualizzare e modificare il servizio Azure Databricks, la sottoscrizione di Azure e le configurazioni della registrazione diagnostica.
  • Amministratori di Microsoft Entra ID con autorizzazione per abilitare l'accesso condizionale di Microsoft Entra ID (in precedenza Azure Active Directory).
  • Per creare aree di lavoro di Azure Databricks, è necessario soddisfare uno dei requisiti seguenti:
    • È necessario essere un collaboratore o un proprietario di Azure.
    • Il Microsoft.ManagedIdentity provider di risorse deve essere registrato nella sottoscrizione. Vedere Registrare il provider di risorse nella documentazione di Azure.

Tipi di amministratore di Databricks

Nella piattaforma Azure Databricks sono disponibili due livelli principali di privilegi di amministratore:

  • Amministratori account: gestire l'account Azure Databricks, inclusa l'abilitazione di Unity Catalog, il provisioning utenti e la gestione delle identità a livello di account.

  • Amministratori dell'area di lavoro: gestire le identità dell'area di lavoro, il controllo di accesso, le impostazioni e le funzionalità per le singole aree di lavoro nell'account.

Inoltre, agli utenti possono essere assegnati questi ruoli di amministratore specifici delle funzionalità, che hanno set di privilegi più ristretti:

Che cosa sono gli amministratori dell'account?

Gli amministratori dell'account hanno privilegi sull'intero account Azure Databricks. Gli amministratori dell'account possono gestire le impostazioni dell'account, configurare il provisioning utenti, creare metastore per l'abilitazione del catalogo Unity e gestire le identità in tutte le aree di lavoro nell'account.

Gli amministratori dell'account possono anche delegare i ruoli di amministratore dell'account e amministratore dell'area di lavoro a qualsiasi altro utente.

Stabilire il primo amministratore dell'account

Nota

Prima di poter stabilire un amministratore dell'account, è necessario avere almeno un'area di lavoro di Azure Databricks distribuita nell'account.

Per abilitare la console dell'account e stabilire il primo amministratore dell'account, è necessario contattare un utente con l'ID Microsoft Entra (in precedenza Azure Active Directory) Ruolo globale Amministrazione istrator. Ai fini della sicurezza, solo un utente con il ruolo Microsoft Entra ID Global Amministrazione istrator ha le autorizzazioni per assegnare il primo ruolo di amministratore dell'account. Dopo aver completato questi passaggi, è possibile rimuovere l'Amministrazione istrator globale dall'account Azure Databricks.

L'Amministrazione istrator globale deve usare le istruzioni seguenti:

  1. Accedere al portale di Azure con le credenziali di Amministrazione globali.
  2. Passare a accounts.azuredatabricks.net e accedere con Microsoft Entra ID. Azure Databricks crea automaticamente un ruolo di amministratore dell'account.
  3. Fare clic su Gestione utenti.
  4. Trovare e fare clic sul nome utente dell'utente a cui si vuole delegare il ruolo di amministratore dell'account.
  5. Nella scheda Ruoli attivare Amministratore account.

Una volta che un altro utente ha il ruolo di amministratore dell'account, non è più necessario coinvolgere microsoft Entra ID Global Amministrazione istrator. Il nuovo amministratore dell'account può rimuovere il Amministrazione istrator globale dall'account Azure Databricks e assegnare ad altri utenti il ruolo di amministratore dell'account.

Accedere alla console dell'account

La console dell'account è la posizione in cui gli amministratori dell'account gestiscono l'account Azure Databricks.

Default account console view

Gli amministratori dell'account possono accedere alla console dell'account all'indirizzo https://accounts.azuredatabricks.net o facendo clic sull'indirizzo di posta elettronica nella parte superiore dell'interfaccia utente dell'area di lavoro e selezionando Gestisci account.

Gli utenti dell'account che non sono amministratori dell'account possono accedere all'account solo da https://accounts.azuredatabricks.net. Al momento dell'accesso, la console dell'account apre un elenco delle aree di lavoro.

Nota

Se ci si trova in più tenant di Microsoft Entra ID, l'URL della console dell'account consente di accedere alla console dell'account Azure Databricks nel tenant predefinito. Per accedere alla console dell'account di un tenant diverso, accedere alla console dell'account dall'interno di un'area di lavoro nel tenant preferito.

Responsabilità dell'amministratore dell'account

Gli amministratori dell'account includono:

Abilitare il catalogo Unity

Nota

Se l'account Azure Databricks è stato creato dopo il 9 novembre 2023, per impostazione predefinita le aree di lavoro potrebbero avere Il catalogo Unity abilitato. Per altre informazioni, vedere Abilitazione automatica del catalogo Unity.

È necessario un amministratore dell'account per abilitare Unity Catalog nell'account. Il processo comporta la creazione di un metastore del catalogo Unity, che può essere eseguito solo da un amministratore dell'account.

Per istruzioni sull'abilitazione del catalogo Unity, vedere Introduzione all'uso del catalogo Unity.

Gestire le identità

Gli amministratori dell'account devono sincronizzare il provider di identità con Azure Databricks, se applicabile. Vedere Sincronizzare utenti e gruppi da Microsoft Entra ID.

Se è stato abilitato Unity Catalog per almeno un'area di lavoro nell'account, le identità (utenti, gruppi e entità servizio) devono essere gestite nella console dell'account. Gli amministratori dell'account possono concedere autorizzazioni e assegnare aree di lavoro a queste identità.

Per ulteriori informazioni, vedere Gestire gli utenti e i gruppi.

Monitorare l'account con le tabelle di sistema

Le tabelle di sistema sono un archivio analitico ospitato in Azure Databricks dei dati operativi dell'account presenti nel system catalogo. Gli amministratori dell'account possono abilitare le tabelle di sistema per accedere ai log di controllo, ai log di utilizzo fatturabili, ai dati di derivazione e altro ancora. Vedere Monitorare l'utilizzo con le tabelle di sistema.

Gestire le impostazioni dell'account

Gli amministratori dell'account possono gestire gli aspetti dell'account Azure Databricks dalla console dell'account usando la sezione Impostazioni. Ciò include l'abilitazione di nuove funzionalità nell'account e la configurazione degli elenchi di accesso IP.

Che cosa sono gli amministratori dell'area di lavoro?

Gli amministratori dell'area di lavoro hanno privilegi di amministratore all'interno di una singola area di lavoro. Possono gestire le identità a livello di area di lavoro, regolare l'uso del calcolo e abilitare e delegare il controllo degli accessi in base al ruolo (solo piano Premium).

Accedere alle impostazioni di amministratore

Gli amministratori dell'area di lavoro sono gli unici utenti che hanno accesso alla pagina delle impostazioni di amministrazione dell'area di lavoro. Gli amministratori dell'area di lavoro possono accedere alle impostazioni di amministrazione facendo clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionando Amministrazione Impostazioni.

Default admin settings view

Responsabilità dell'amministratore dell'area di lavoro

Gli amministratori dell'area di lavoro includono:

Gestire le identità nell'area di lavoro

Se l'area di lavoro è abilitata per Unity Catalog, le identità devono essere aggiunte a livello di account. Gli amministratori dell'area di lavoro possono quindi assegnare utenti, gruppi ed entità servizio all'area di lavoro. Per altre informazioni sull'aggiunta e la rimozione di identità in un'area di lavoro, vedere Gestire utenti, entità servizio e gruppi.

Nota

Databricks Academy ha un corso gratuito sull'identità Amministrazione istration. Prima di poter accedere al corso, è necessario registrarsi per Databricks Academy , se non è già stato fatto.

Creare e gestire risorse di calcolo

Gli amministratori dell'area di lavoro possono creare sql warehouse (una risorsa di calcolo che consente di eseguire comandi SQL su oggetti dati all'interno di Databricks SQL) e cluster per gli utenti dell'area di lavoro. Per istruzioni sulla creazione di sql warehouse, vedere Creare un'istanza di SQL Warehouse.

È anche il lavoro dell'amministratore dell'area di lavoro per regolare il modo in cui vengono usate le risorse di calcolo nell'area di lavoro. Gli amministratori dell'area di lavoro hanno gli strumenti seguenti:

  • Limitare le opzioni di creazione del cluster degli utenti dell'area di lavoro con i criteri del cluster.
    • Databricks consiglia di gestire tutti gli script init come script init con ambito cluster. Invece di usare script init globali, gestire gli elementi scipt init usando i criteri del cluster.
  • Informazioni sulle risorse di calcolo a cui è possibile accedere al catalogo Unity.

Nota

Databricks Academy ha un corso gratuito sulle risorse di calcolo Amministrazione istration.

Gestire le funzionalità e le impostazioni delle aree di lavoro

Gli amministratori dell'area di lavoro sono responsabili della gestione del comportamento e delle impostazioni dell'area di lavoro selezionati. Per informazioni su altre impostazioni dell'area di lavoro disponibili, vedere Gestione delle impostazioni dell'area di lavoro.

Nota

Databricks Academy ha un corso gratuito sull'area di lavoro di Databricks Amministrazione istration and Security.

Risorse aggiuntive

Databricks Academy offre un percorso di apprendimento autonomo gratuito per gli amministratori della piattaforma. Prima di poter accedere al corso, è necessario registrarsi per Databricks Academy , se non è già stato fatto.

È anche possibile iscriversi per partecipare a una formazione di amministrazione della piattaforma live.