Azure Databricks 管理简介
本文提供 Azure Databricks 管理员特权和职责的说明。
若要管理 Azure Databricks 服务,需要以下 Azure 管理员权限之一:
- 在订阅级别具有 Azure 参与者 或 所有者角色的用户。
- 具有具有以下权限列表的自定义角色定义的用户:
Microsoft.Databricks/workspaces/*
Microsoft.Databricks/accessConnectors/*
Microsoft.Compute/register/action
Microsoft.ManagedIdentity/register/action
Microsoft.Storage/register/action
Microsoft.Network/register/action
备注
如果这些提供程序已在订阅中注册, Microsoft.Network/registe/actionr
则不需要权限Microsoft.Compute/register/action
。 Microsoft.ManagedIdentity/register/action
Microsoft.Storage/register/action
请参阅 “注册资源提供程序”。
Azure Databricks 平台上有两个主级别的管理员权限:
此外,还可以为用户分配这些功能特定的管理员角色,这些角色具有更窄的权限集:
市场管理员:管理其帐户的 Databricks 市场提供商配置文件,包括创建和管理市场一览。
元存储管理员 - 管理 Unity Catalog 中所有安全对象的权限和所有权,例如谁可以创建目录或查询表。
计费管理员:跨帐户查看预算和管理预算策略。
帐户管理员对整个 Azure Databricks 帐户拥有特权。 帐户管理员可以管理帐户设置、设置用户预配、创建元存储来启用 Unity Catalog,以及管理帐户中所有工作区的标识。
帐户管理员还可以将帐户管理员和工作区管理员角色委托给任何其他用户。
备注
帐户控制台在Azure 政府区域中不可用。
若要启用账户控制台并建立第一个帐户管理员,需要与具有 Microsoft Entra ID 全局管理员角色的人员协作。 出于安全考虑,只有具有 Microsoft Entra ID 全局管理员角色的人员有权分配第一个帐户管理员角色。 完成这些步骤后,可以从 Azure Databricks 帐户中删除全局管理员。
全局管理员应使用以下说明:
- 使用全局管理员凭据登录到 Azure 门户。
- 转到 accounts.azuredatabricks.net 并使用 Microsoft Entra ID 登录。 Azure Databricks 会自动为你创建一个帐户管理员角色。
- 单击“用户管理”。
- 找到并单击要向其委托帐户管理员角色的用户的用户名。
- 在“角色”选项卡上,启用“帐户管理员”。
向另一个用户委托帐户管理员角色后,就不再需要 Microsoft Entra ID 全局管理员的参与。 新帐户管理员可以从 Azure Databricks 帐户中删除全局管理员,并为其他用户分配帐户管理员角色。
帐户控制台是帐户管理员管理其 Azure Databricks 帐户的位置。
帐户管理员可以在 https://accounts.azuredatabricks.net 访问帐户控制台,也可单击工作区 UI 顶部的工作区选择器,然后选择“管理帐户”来访问。
帐户用户(非帐户管理员)只能从以下网址访问帐户:https://accounts.azuredatabricks.net。 登录后,帐户控制台随即将打开并显示用户工作区列表。
备注
如果位于多个 Microsoft Entra ID 租户中,帐户控制台 URL 会转到默认租户中的 Azure Databricks 帐户控制台。 若要访问其他租户的帐户控制台,请从首选租户的工作区中访问帐户控制台。
帐户管理员的职责包括:
备注
如果你的 Azure Databricks 帐户在 2023 年 11 月 9 日之后创建,则工作区可能已默认启用 Unity 目录。 有关详细信息,请参阅 Unity 目录的自动启用。
需要由帐户管理员在你的帐户中启用 Unity Catalog。 此过程涉及创建 Unity Catalog 元存储,这只能由帐户管理员完成。
有关启用 Unity Catalog 的说明,请参阅开始使用 Unity Catalog。
帐户管理员应将其标识提供者与 Azure Databricks 同步(如果适用)。 请参阅从 Microsoft Entra ID 同步用户和组。
如果已为帐户中的至少一个工作区启用 Unity Catalog,则应在帐户控制台中管理标识(用户、组和服务主体)。 帐户管理员可以授予权限并将工作区分配到这些标识。
有关详细信息,请参阅管理用户和组。
系统表是 system
目录中帐户操作数据的 Azure Databricks 托管的分析存储。 帐户管理员可以使系统表能够访问审核日志、计费使用情况日志、世系数据等。 请参阅 包含系统表的“监视帐户”活动。
帐户管理员可以在帐户控制台中使用“设置”部分管理其 Azure Databricks 帐户的各个方面。 这包括在整个帐户中启用新功能,以及配置 IP 访问列表。
在你的工作区或组织的工作区中管理 Azure Databricks 预览版。 可以通过预览版在功能正式发布 (GA) 之前提早访问这些功能。 请参阅管理 Azure Databricks 预览版。
工作区管理员在单个工作区中拥有管理员特权。 他们可以管理工作区级标识、调控计算的使用,以及启用和委托基于角色的访问控制(仅限高级计划)。
只有工作区管理员用户有权访问工作区的管理员设置页面。 工作区管理员可以通过单击 Azure Databricks 工作区顶部栏中的用户名并选择“设置”来访问管理设置。
工作区管理员的职责包括:
如果你的工作区启用了 Unity Catalog,则应在帐户级别添加标识。 然后,工作区管理员可以将用户、组和服务主体分配到其工作区。 有关在工作区中添加和删除标识的详细信息,请参阅管理用户、服务主体和组。
备注
Databricks Academy 有一门关于标识管理的免费课程。 要想访问此课程,首先需要注册 Databricks Academy(如果尚未注册)。
工作区管理员可以为其工作区用户创建 SQL 仓库(一种计算资源,它允许针对 Databricks SQL 中的数据对象运行 SQL 命令)和群集。 有关创建 SQL 仓库的说明,请参阅创建 SQL 仓库。
工作区管理员的职责还包括调控在其工作区中使用计算资源的方式。 工作区管理员具有以下工具:
- 使用群集策略限制工作区用户的群集创建选项。
- Databricks 建议将所有 init 脚本作为群集范围的 init 脚本进行管理。 使用群集策略来管理 init 脚本,而不是使用全局 init 脚本。
- 了解哪些计算资源具有 Unity Catalog 访问权限。
备注
Databricks Academy 有一门关于计算资源管理的免费课程。
工作区管理员负责管理特定的工作区行为和设置。 有关其他可用工作区设置的信息,请参阅管理工作区设置。
备注
Databricks Academy 有一门关于 Databricks 工作区管理和安全性的免费课程。
Databricks Academy 为平台管理员提供了免费的自定进度学习途径。 要想访问此课程,首先需要注册 Databricks Academy(如果尚未注册)。
你还可以注册参加平台管理直播培训。