本文提供 Azure Databricks 系統管理員許可權和責任的簡介。
必要的 Azure 系統管理員權限
若要建立 Azure Databricks 工作區或以工作區系統管理員身分登入 Azure Databricks 工作區,您必須是下列其中一項:
- 在訂用帳戶層級具有 Azure 參與者 或 擁有者 角色的使用者。
- 具有自訂角色定義且具有下列權限清單的使用者:
Microsoft.Databricks/workspaces/*Microsoft.Resources/subscriptions/resourceGroups/readMicrosoft.Resources/subscriptions/resourceGroups/writeMicrosoft.Databricks/accessConnectors/*Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/actionMicrosoft.Network/register/actionMicrosoft.Resources/deployments/validate/actionMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/read
在 Azure Databricks 中授與工作區系統管理員角色之後,就不再需要上述 Azure 角色。 即使移除這些 Azure 角色,您仍會保留工作區系統管理員存取權。 工作區系統管理員也可以授與其他使用者 Azure Databricks 中的工作區系統管理員角色,而不論這些使用者的 Azure 角色為何。
備註
如果這些提供者已在訂用帳戶中註冊,則不需要Microsoft.Compute/register/action、Microsoft.ManagedIdentity/register/action、Microsoft.Storage/register/action、 Microsoft.Network/register/action許可權。 請參閱 註冊資源提供者。
Databricks 系統管理員類型
Azure Databricks 平台上有兩個主要層級的系統管理員權限:
- 帳戶系統管理員:管理 Azure Databricks 帳戶,包括啟用 Unity 目錄、使用者佈建和帳戶層級身分識別管理。
- 工作區管理員:管理帳戶中各個工作區的工作區身分、存取控制、設定和功能。
此外,可以為使用者指派這些特定於功能的管理員角色,這些角色具有較窄的權限集:
- Marketplace 系統管理員:管理其帳戶的 Databricks Marketplace 提供者配置檔,包括建立和管理 Marketplace 清單。
- 中繼存放區系統管理員:管理 Unity 目錄中繼存放區內所有安全性實體物件的許可權和擁有權,例如誰可以建立目錄或查詢資料表。
- 帳單管理員:檢視預算並跨帳戶管理無伺服器預算原則。
什麼是帳戶管理員?
帳戶系統管理員擁有整個 Azure Databricks 帳戶的許可權。 身為帳戶系統管理員,您可以管理帳戶設定、設定使用者布建、建立 Unity 目錄啟用的中繼存放區,以及管理帳戶中所有工作區的身分識別。
帳戶管理員也可以將帳戶管理員和工作區管理員角色委派給任何其他使用者。
建立您的第一個帳戶管理員
備註
帳戶主控台不適用於 Azure Government 區域。
為了安全性和組織完整性,Databricks 需要 Microsoft Entra ID 全域系統管理員建立您帳戶的第一個帳戶系統管理員角色。 這可確保在沒有較高權限管理員監督的情況下,不會建立高權限服務特定管理員角色。
完成這些步驟之後,您可以從 Azure Databricks 帳戶移除全域系統管理員。
全域管理員應該使用下列指示:
- 使用全域管理員認證登入 Azure 入口網站。
- 移至 accounts.azuredatabricks.net 並使用Microsoft Entra ID 登入。 Azure Databricks 會自動為您建立帳戶系統管理員角色。
- 按一下 「使用者管理」。
- 尋找並按一下您要委派帳戶管理員角色之使用者的使用者名稱。
- 在 [角色] 索引標籤上,開啟 [帳戶管理員]。
一旦另一個使用者具有帳戶系統管理員角色,Microsoft Entra ID 全域管理員就不再需要參與相關操作。 新的帳戶系統管理員可以從 Azure Databricks 帳戶移除全域系統管理員,並將帳戶系統管理員角色指派給其他使用者。
存取帳戶主控台
帳戶主控台是帳戶系統管理員管理其 Azure Databricks 帳戶的地方。
帳戶管理員可以在工作 https://accounts.azuredatabricks.net 區UI頂端或按一下工作區UI頂端的工作區選取器,然後選取 「管理帳戶」來存取帳戶主控台。
非帳戶管理員的帳戶使用者只能從 https://accounts.azuredatabricks.net存取帳戶。 登入後,帳戶主控台會開啟其工作區清單。
備註
如果您位於多個 Microsoft Entra ID 租用戶中,帳戶主控台 URL 會將您帶到預設租用戶中的 Azure Databricks 帳戶主控台。 若要存取不同租用戶的帳戶主控台,請從慣用租用戶的工作區內存取帳戶主控台。
帳戶管理員的職責
身為帳戶管理員,您的職責包括:
啟用 Unity 目錄
備註
如果您的 Azure Databricks 帳戶是在 2023 年 11 月 9 日之後建立,您的工作區預設可能會啟用 Unity 目錄。 如需更詳細的資訊,請參閱 自動啟用 Unity Catalog。
需要帳戶系統管理員,才能在您的帳戶中啟用 Unity 目錄。 此程式牽涉到建立 Unity 目錄中繼存放區,這只能由帳戶系統管理員完成。
如需啟用 Unity 目錄的指示,請參閱 開始使用 Unity 目錄。
管理身分識別
帳戶系統管理員如果適用,應該將其身分識別提供者與 Azure Databricks 同步。 請參閱 使用 SCIM 從 Microsoft Entra ID 同步使用者和群組。
如果您已為帳戶中的至少一個工作區啟用 Unity 目錄,則應該在帳戶主控台中管理身分識別 (使用者、群組和服務主體)。 帳戶管理員可以授與許可權,並將工作區指派給這些身分。
如需詳細資訊,請參閱 管理使用者和群組。
使用系統資料表監控帳戶
系統數據表是 Azure Databricks 裝載於system 目錄中的您帳戶操作數據的分析存放區。 帳戶管理員可以啟用系統資料表來存取稽核記錄、可計費使用記錄、譜系資料等。 請參閱 使用系統資料表監控帳戶活動。
管理帳戶設定
帳戶系統管理員可以使用 [ 設定 ] 區段,從帳戶主控台管理其 Azure Databricks 帳戶的各個層面。 這包括跨帳戶啟用新功能和配置 IP 存取清單。
管理預覽
在您的工作區或組織的工作區中管理 Azure Databricks 預覽。 預覽可讓您在功能正式發行 (GA) 之前儘早存取功能。 請參閱 管理 Azure Databricks 預覽。
什麼是工作區管理員?
工作區管理員在單一工作區內擁有管理員權限。 他們可以管理工作區層級身分識別、規範計算使用,以及啟用和委派角色型存取控制 (僅限進階方案 )。
存取管理員設定
工作區管理員是唯一有權存取工作區管理員設定頁面的使用者。 身為工作區系統管理員,您可以按兩下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定],以存取系統管理員設定。
工作區管理員的職責
身為工作區管理員,您的職責包括:
管理工作區中的身分識別
如果您的工作區已啟用 Unity 目錄,則應該在帳戶層級新增身分識別。 然後,工作區管理員可以將使用者、群組和服務主體指派給其工作區。 如需在工作區中新增和移除身分識別的詳細資訊,請參閱 管理使用者、服務主體和群組。
備註
Databricks Academy 有 關於身份管理的免費課程。 在存取課程之前,您必須先 註冊 Databricks Academy (如果您尚未註冊)。
建立和管理運算資源
工作區系統管理員可以為其工作區使用者建立 SQL 倉儲 (可讓您在 Databricks SQL 內的資料物件上執行 SQL 命令的計算資源) 和叢集。 如需建立 SQL 倉儲的指示,請參閱 建立 SQL 倉儲。
工作區管理員的工作也是規範計算資源在其工作區中的使用方式。 工作區管理員擁有下列工具:
- 使用 叢集原則限制工作區使用者的叢集建立選項。
- Databricks 建議將所有初始化腳本管理為叢集範圍的初始化腳本。 不要使用 全域初始化指令碼,而是透過叢集原則來管理初始化指令碼。
- 瞭解哪些計算資源具有 Unity 目錄存取權。
備註
Databricks Academy 有 計算資源管理的免費課程。
管理工作區功能和設定
工作區管理員負責管理選取的工作區行為和設定。 如需其他可用工作區設定的相關資訊,請參閱 管理工作區設定。
備註
Databricks Academy 有 關於 Databricks 工作區管理和安全性的免費課程。
其他資源
Databricks Academy 為 平台系統管理員提供免費的自定進度學習路徑。 在存取課程之前,您必須先 註冊 Databricks Academy (如果您尚未註冊)。
您也可以註冊參加 即時平台管理培訓。
您也可以在 Databricks 社群中取得許多問題的答案。