Introdução à administração do Azure Databricks
Este artigo fornece uma introdução aos privilégios e responsabilidades de administrador do Azure Databricks.
Permissões de administrador necessárias
Para gerenciar seu serviço do Azure Databricks, você precisa das seguintes permissões de administrador do Azure:
- Um usuário com a função de Colaborador do Azure ou Proprietário que pode exibir e fazer alterações no serviço Azure Databricks, na assinatura do Azure e nas configurações de log de diagnóstico.
- Administradores do Microsoft Entra ID com permissão para habilitar o acesso condicional do Microsoft Entra ID (antigo Azure Active Directory).
- Para criar workspaces do Azure Databricks, você precisa atender a um dos seguintes requisitos:
- Você deve ser um Colaborador ou Proprietário do Azure.
- O provedor de recursos
Microsoft.ManagedIdentitydeve ser registrado em sua assinatura. Confira Registrar provedor de recursos na documentação do Azure.
Tipos de administrador do Databricks
Há dois níveis principais de privilégios de administrador disponíveis na plataforma do Azure Databricks:
Administradores de conta: gerencie a conta do Azure Databricks, incluindo a habilitação do Catálogo do Unity, o provisionamento de usuários e o gerenciamento de identidades no nível da conta.
Administradores de workspace: gerencie identidades de workspace, controle de acesso, configurações e recursos para workspaces individuais na conta.
Além disso, os usuários podem receber essas funções de administrador específicas do recurso, que têm conjuntos mais estreitos de privilégios:
- Administradores do Marketplace: gerencie o perfil de provedor do Databricks Marketplace de sua conta, incluindo a criação e o gerenciamento de listagens do Marketplace.
- Os administradores de metastore: gerenciam os privilégios e a propriedade de todos os objetos protegíveis em um metastore do Unity Catalog como quem pode criar catálogos ou consultar uma tabela.
O que são administradores de conta?
Os administradores de conta têm privilégios em toda a conta do Azure Databricks. Como administrador de conta, você pode gerenciar configurações de conta, configurar o provisionamento de usuário, criar metastores para habilitação do Catálogo do Unity e gerenciar identidades em todos os workspaces na conta.
Os administradores de conta também podem delegar as funções de administrador da conta e administrador do workspace para qualquer outro usuário.
Estabelecer seu primeiro administrador de conta
Observação
Você deve ter pelo menos um workspace do Azure Databricks implantado em sua conta antes de estabelecer um administrador de conta.
Para habilitar o console de contas e estabelecer seu primeiro administrador de contas, você precisará contratar alguém que tenha a função de Administrador global do Microsoft Entra ID (antigo Azure Active Directory). Para fins de segurança, somente alguém com a função de Administrador global do Microsoft Entra ID tem permissões para atribuir a primeira função de administrador de conta. Depois de concluir essas etapas, você pode remover o Administrador global da conta do Azure Databricks.
O Administrador global deve usar as seguintes instruções:
- Entre no portal do Azure com suas credenciais de Administrador global.
- Vá até accounts.azuredatabricks.net e entre com o Microsoft Entra ID. O Azure Databricks cria automaticamente uma função de administrador de conta para você.
- Clique em Gerenciamento de usuários.
- Localize e clique no nome de usuário do usuário ao qual você deseja delegar a função de administrador da conta.
- Na guia Funções, ative Administrador da conta.
Depois que outro usuário tiver a função de administrador da conta, o Administrador global do Microsoft Entra ID não precisará mais estar envolvido. O novo administrador da conta pode remover o Administrador global da conta do Azure Databricks e atribuir a outros usuários a função de administrador da conta.
Acessar o console da conta
O console da conta é onde os administradores de conta gerenciam a conta do Azure Databricks.
Os administradores da conta podem acessar o console da conta em https://accounts.azuredatabricks.net ou clicando em seu endereço de email na parte superior da interface do usuário do workspace e selecionando Gerenciar Conta.
Os usuários da conta que não são administradores da conta só podem acessar a conta de https://accounts.azuredatabricks.net. Ao fazer logon, o console da conta é aberto para uma lista de seus workspaces.
Observação
Se você estiver em vários locatários do Microsoft Entra ID, a URL do console da conta o levará ao console da conta do Azure Databricks em seu locatário padrão. Para acessar o console da conta de um locatário diferente, acesse o console da conta de dentro de um workspace em seu locatário preferencial.
Responsabilidades do administrador da conta
Como administrador da conta, suas responsabilidades incluem:
- Habilitação do Catálogo do Unity
- Gerenciamento de identidades
- Monitorando logs de uso da conta
- Gerenciamento de configurações no nível da conta
Habilitar o Catálogo do Unity
Observação
Se sua conta do Azure Databricks tiver sido criada após 9 de novembro de 2023, seus workspaces poderão ter o Catálogo do Unity habilitado por padrão. Para obter mais informações, confira Habilitação automática do Catálogo do Unity.
Um administrador de conta é necessário para habilitar o Catálogo do Unity em sua conta. O processo envolve a criação de um metastore do Catálogo do Unity, que só pode ser feito por um administrador da conta.
Para obter instruções sobre como habilitar o Catálogo do Unity, consulte Introdução ao uso do Catálogo do Unity.
Gerenciar identidades
Os administradores de conta devem sincronizar seu provedor de identidade com o Azure Databricks, se aplicável. Confira Sincronizar usuários e grupos do Microsoft Entra ID.
Se você habilitou o Catálogo do Unity para pelo menos um workspace em sua conta, as identidades (usuários, grupos e entidades de serviço) devem ser gerenciadas no console da conta. Os administradores da conta podem conceder permissões e atribuir workspaces a essas identidades.
Para saber mais, confira Gerenciar usuários e grupos.
Monitore a conta com tabelas do sistema
As tabelas do sistema são um repositório analítico hospedado pelo Azure Databricks dos dados operacionais da sua conta encontrados no catálogo system. Os administradores de conta podem permitir que tabelas do sistema acessem logs de auditoria, logs de uso faturáveis, dados de linhagem e muito mais. Veja Monitore o uso com tabelas do sistema.
Gerenciar configurações da conta
Os administradores de conta podem gerenciar aspectos de sua conta do Azure Databricks no console da conta usando a seção Configurações. Isso inclui habilitar novos recursos na conta e configurar listas de acesso IP.
O que são os administradores de workspace?
Os administradores de workspace têm privilégios de administrador em um único workspace. Eles podem gerenciar identidades no nível do workspace, regular o uso de computação e habilitar e delegar controle de acesso baseado em função (somente plano Premium).
Acessar as configurações de administrador
Os administradores do workspace são os únicos usuários que têm acesso à página de configurações de administrador do workspace. Como administrador do workspace, você pode acessar as configurações de administrador clicando em seu nome de usuário na barra superior do workspace do Azure Databricks e selecionando Configurações de administrador.
Responsabilidades de administrador de workspace
Como administrador do workspace, suas responsabilidades incluem:
- Gerenciamento de identidades em seu workspace
- Criação e gerenciamento de recursos de computação
- Gerenciamento de recursos e configurações do workspace
Gerenciar identidades em seu workspace
Se o workspace estiver habilitado para o Catálogo do Unity, as identidades deverão ser adicionadas no nível da conta. Os administradores do workspace podem então atribuir usuários e entidades de serviço aos seus workspaces. Para obter mais informações sobre como adicionar e remover identidades em um workspace, consulte Gerenciar usuários, entidades de serviço e grupos.
Observação
O Databricks Academy tem um curso gratuito sobre Administração de Identidade. Antes de acessar o curso, primeiro você precisa se registrar no Databricks Academy, caso ainda não tenha feito isso.
Criar e gerenciar recursos de computação
Os administradores do workspace podem criar SQL warehouses (um recurso de computação que permite executar comandos SQL em objetos de dados no Databricks SQL) e clusters para seus usuários de workspace. Para obter instruções sobre como criar SQL warehouses, confira como Criar um SQL warehouse.
Também é trabalho do administrador do workspace regular como os recursos de computação são usados em seu workspace. Os administradores do workspace têm as seguintes ferramentas:
- Limite as opções de criação de cluster dos usuários do workspace com políticas de cluster.
- A Databricks recomenda gerenciar todos os scripts de inicialização como scripts de inicialização no escopo do cluster. Em vez de usar scripts de inicialização globais, gerencie os scripts de inicialização usando políticas de cluster.
- Saiba quais recursos de computação têm acesso ao Catálogo do Unity.
Observação
O Databricks Academy tem um curso gratuito sobre Administração de Recursos de Computação.
Gerenciar recursos e configurações de workspaces
Os administradores do workspace são responsáveis por gerenciar configurações e comportamentos de workspace selecionados. Para obter informações sobre outras configurações de workspace disponíveis, consulte Gerenciamento de configurações de workspace.
Observação
O Databricks Academy tem um curso gratuito sobre Administração e Segurança do Workspace do Databricks.
Recursos adicionais
O Databricks Academy tem um roteiro de aprendizagem individualizado gratuito para administradores de plataforma. Antes de acessar o curso, primeiro você precisa se registrar no Databricks Academy, caso ainda não tenha feito isso.
Você também pode se inscrever para participar de um treinamento de administração de plataforma ao vivo.