Databricks 系統管理概觀

本文介紹 Azure Databricks 的管理員權限與責任。

所需的 Azure 管理員權限

使用 Azure Databricks 所需的 Azure 權限，取決於你是建立工作區還是以管理員身份登入現有工作區。

建立工作區所需的權限

要建立 Azure Databricks 工作空間，您必須符合以下其中之一：

• 在訂閱層級擔任 Azure 貢獻者 或 Owner 角色的使用者。
• 具有自訂角色定義且具有下列權限清單的使用者：
  • Microsoft.Databricks/workspaces/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/write
  • Microsoft.Databricks/accessConnectors/*
  • Microsoft.Compute/register/action
  • Microsoft.ManagedIdentity/register/action
  • Microsoft.Storage/register/action
  • Microsoft.Network/register/action
  • Microsoft.Resources/deployments/validate/action
  • Microsoft.Resources/deployments/write
  • Microsoft.Resources/deployments/read

備註

如果這些提供者已經註冊訂閱，則不需要 Microsoft.Compute/register/action、Microsoft.ManagedIdentity/register/action、Microsoft.Storage/register/action、 Microsoft.Network/register/action 權限。 請參閱 註冊資源提供者。

登入為工作區管理員所需的權限

如果您尚未在 Azure Databricks 中獲得工作區管理員角色，您可以透過以下 Azure 角色之一登入取得工作區管理員權限：

• 在訂閱層級擔任 Azure 貢獻者 或 Owner 角色的使用者。
• 擁有自訂角色定義的使用者，擁有以下權限：
  • Microsoft.Databricks/workspaces/*
  • Microsoft.Databricks/accessConnectors/*

登入並取得工作區管理員權限後，這些 Azure 角色就不再需要。 即使那些 Azure 角色被移除，你仍保有工作空間管理員的權限。 如果工作區管理員角色是由你Azure Databricks帳戶中的工作區管理員或帳戶管理員指派，你就不需要這些Azure角色。

Databricks 系統管理員類型

Azure Databricks 平台上有兩個主要的管理員權限層級：

• Account admins：管理Azure Databricks帳號，包括啟用 Unity 目錄、使用者配置及帳號層級身份管理。

• 工作區管理員：管理帳戶中各個工作區的工作區身分、存取控制、設定和功能。

此外，可以為使用者指派這些特定於功能的管理員角色，這些角色具有較窄的權限集：

• Marketplace 系統管理員：管理其帳戶的 Databricks Marketplace 提供者配置檔，包括建立和管理 Marketplace 清單。
• 中繼存放區系統管理員：管理 Unity 目錄中繼存放區內所有安全性實體物件的許可權和擁有權，例如誰可以建立目錄或查詢資料表。

• 帳單管理員：查看預算並管理跨帳戶的無伺服器使用政策。

什麼是帳戶管理員？

帳號管理員擁有整個 Azure Databricks 帳號的權限。 身為帳戶系統管理員，您可以管理帳戶設定、設定使用者布建、建立 Unity 目錄啟用的中繼存放區，以及管理帳戶中所有工作區的身分識別。

帳戶管理員也可以將帳戶管理員和工作區管理員角色委派給任何其他使用者。

建立您的第一個帳戶管理員

備註

帳戶主控台在 Azure Government 區域中無法使用。

為了安全與組織完整性，Databricks 要求 Microsoft Entra ID 全域管理員建立您帳戶的第一個帳號管理員角色。 這可確保在沒有較高權限管理員監督的情況下，不會建立高權限服務特定管理員角色。

完成這些步驟後，你可以將全域管理員從 Azure Databricks 帳號中移除。

全域管理員應該使用下列指示：

1. 請使用您的全域管理員憑證登入您的 Azure Portal。
2. 請前往 accounts.azuredatabricks.net 並登入 Microsoft Entra ID。 Azure Databricks 會自動為你建立一個帳號管理員角色。
3. 按一下 「使用者管理」。
4. 尋找並按一下您要委派帳戶管理員角色之使用者的使用者名稱。
5. 在 [角色] 索引標籤上，開啟 [帳戶管理員]。

一旦另一位使用者擁有帳號管理員角色，Microsoft Entra ID 全域管理員就不必再參與。 新的帳號管理員可以從 Azure Databricks 帳號中移除全域管理員，並將帳號管理員角色指派給其他使用者。

存取帳戶主控台

帳號主控台是帳號管理員管理他們 Azure Databricks 帳號的地方。

帳戶管理員可以在工作 https://accounts.azuredatabricks.net 區UI頂端或按一下工作區UI頂端的工作區選取器，然後選取 「管理帳戶」來存取帳戶主控台。

非帳戶管理員的帳戶使用者只能從 https://accounts.azuredatabricks.net存取帳戶。 登入後，帳戶主控台會開啟其工作區清單。

備註

如果你同時在多個 Microsoft Entra ID 租戶中，帳號主控台的網址會帶你到預設租戶中的 Azure Databricks 帳號主控台。 若要存取不同租用戶的帳戶主控台，請從慣用租用戶的工作區內存取帳戶主控台。

帳戶管理員的職責

身為帳戶管理員，您的職責包括：

• 啟用 Unity Catalog
• 管理身份
• 監控帳戶使用記錄
• 管理帳戶層級設定
• 管理 Databricks 預覽

啟用 Unity 目錄

備註

如果你的 Azure Databricks 帳號是在 2023 年 11 月 9 日之後建立的，你的工作區可能預設是啟用 Unity 目錄。 如需更詳細的資訊，請參閱 自動啟用 Unity Catalog。

需要帳戶系統管理員，才能在您的帳戶中啟用 Unity 目錄。 此程式牽涉到建立 Unity 目錄中繼存放區，這只能由帳戶系統管理員完成。

如需啟用 Unity 目錄的指示，請參閱 開始使用 Unity 目錄。

管理身分識別

帳號管理員應將他們的身份提供者與 Azure Databricks 同步（如適用）。 參見 使用 SCIM 從 Microsoft Entra ID 同步使用者和群組。

如果您已為帳戶中的至少一個工作區啟用 Unity 目錄，則應該在帳戶主控台中管理身分識別 （使用者、群組和服務主體）。 帳戶管理員可以授與許可權，並將工作區指派給這些身分。

如需詳細資訊，請參閱 管理使用者和群組。

使用系統資料表監控帳戶

系統資料表是Azure Databricks託管的分析儲存庫，儲存帳號運作資料，存放於 system 目錄中。 帳戶管理員可以啟用系統資料表來存取稽核記錄、可計費使用記錄、譜系資料等。 請參閱 系統表格參考資料。

管理帳戶設定

帳號管理員可以透過帳號主控台的 Settings 區塊管理他們Azure Databricks帳號的部分。 這包括跨帳戶啟用新功能和配置 IP 存取清單。

管理預覽

在您的工作空間或組織的工作空間中管理 Azure Databricks 預覽。 預覽可讓您在功能正式發行 （GA） 之前儘早存取功能。 請參見 管理Azure Databricks預覽。

什麼是工作區管理員？

工作區管理員在單一工作區內擁有管理員權限。 他們可以管理工作區層級身分識別、規範計算使用，以及啟用和委派角色型存取控制 （僅限進階方案 ）。

建立工作區的帳號管理員會自動成為該工作區的管理員。 其他帳號管理員預設沒有工作區的存取權，但他們可以授權自己或任何使用者在帳號內任何工作區擁有工作區管理員角色。 請參見 「指派使用者到工作區」。

指派工作區管理員角色

Workspace 管理員是工作區系統admins的成員。 這是一個保留群組，無法刪除，也不支援新增子群組為成員。

工作空間管理員角色可以指派給個別使用者和服務主體。 你無法將工作區管理員角色指派給群組。

• 要將工作區管理員角色指派給使用者，請參見 「assign the workspace admin role to a user」。

• 若要將工作區管理員角色指派給服務主體，請參見「 將工作區管理員角色指派給服務主體」。

存取管理員設定

工作區管理員是唯一有權存取工作區管理員設定頁面的使用者。 作為工作區管理員，你可以點擊Azure Databricks工作區頂欄的使用者名稱，並選擇Settings來存取管理員設定。

工作區管理員的職責

身為工作區管理員，您的職責包括：

• 管理工作區中的身分識別
• 建立和管理運算資源
• 管理工作區功能和設定

管理工作區中的身分識別

如果您的工作區已啟用 Unity 目錄，則應該在帳戶層級新增身分識別。 然後，工作區管理員可以將使用者、群組和服務主體指派給其工作區。 如需在工作區中新增和移除身分識別的詳細資訊，請參閱 管理使用者、服務主體和群組。

備註

Databricks Academy 有 關於身份管理的免費課程。 在存取課程之前，您必須先 註冊 Databricks Academy （如果您尚未註冊）。

建立和管理運算資源

工作區系統管理員可以為其工作區使用者建立 SQL 倉儲 （可讓您在 Databricks SQL 內的資料物件上執行 SQL 命令的計算資源） 和叢集。 如需建立 SQL 倉儲的指示，請參閱 建立 SQL 倉儲。

工作區管理員的工作也是規範計算資源在其工作區中的使用方式。 工作區管理員擁有下列工具：

• 使用 叢集原則限制工作區使用者的叢集建立選項。
  • Databricks 建議將所有初始化腳本管理為叢集範圍的初始化腳本。 不要使用 全域初始化指令碼，而是透過叢集原則來管理初始化指令碼。
• 瞭解哪些計算資源具有 Unity 目錄存取權。

備註

Databricks Academy 有 計算資源管理的免費課程。

管理工作區功能和設定

工作區管理員負責管理選取的工作區行為和設定。 如需其他可用工作區設定的相關資訊，請參閱 管理工作區設定。

備註

Databricks Academy 有 關於 Databricks 工作區管理和安全性的免費課程。

其他資源

Databricks Academy 為 平台系統管理員提供免費的自定進度學習路徑。 在存取課程之前，您必須先 註冊 Databricks Academy （如果您尚未註冊）。

您也可以註冊參加 即時平台管理培訓。

您也可以在 Databricks 社群中取得許多問題的答案。