Azure Databricks 系統管理簡介

本文提供 Azure Databricks 系統管理員許可權和責任的簡介。

必要的 Azure 系統管理員許可權

若要管理 Azure Databricks 服務，您需要下列 Azure 系統管理員許可權：

• 具有 Azure 參與者 或 擁有者 角色的使用者，可檢視和變更 Azure Databricks 服務、Azure 訂用帳戶和診斷記錄設定。
• 具有啟用 Microsoft Entra ID（先前稱為 Azure Active Directory）條件式存取許可權的 Microsoft Entra ID 系統管理員。
• 若要建立 Azure Databricks 工作區，您需要符合下列其中一個需求：
  • 您必須是 Azure 參與者或擁有者。
  • Microsoft.ManagedIdentity資源提供者必須在您的訂用帳戶中註冊。 請參閱 Azure 檔中的註冊資源提供者 。

Databricks 系統管理員類型

Azure Databricks 平臺上有兩個主要層級的系統管理員許可權：

• 帳戶管理員：管理 Azure Databricks 帳戶，包括啟用 Unity 目錄、使用者布建和帳戶層級身分識別管理。

• 工作區系統管理員：管理帳戶中個別工作區的工作區身分識別、訪問控制、設定和功能。

此外，使用者可以指派這些功能特定的系統管理員角色，這些角色具有較窄的許可權集：

• Marketplace 系統管理員：管理其帳戶的 Databricks Marketplace 提供者配置檔，包括建立和管理 Marketplace 列表。
• 中繼存放區系統管理員：管理 Unity 目錄中繼存放區內所有安全性實體對象的許可權和擁有權，例如誰可以建立目錄或查詢數據表。

什麼是帳戶管理員？

帳戶管理員具有整個 Azure Databricks 帳戶的許可權。 身為帳戶管理員，您可以管理帳戶設定、設定使用者布建、建立 Unity 目錄啟用的中繼存放區，以及管理帳戶中所有工作區的身分識別。

帳戶管理員也可以將帳戶管理員和工作區管理員角色委派給任何其他使用者。

建立您的第一個帳戶管理員

注意

您必須先在帳戶中部署至少一個 Azure Databricks 工作區，才能建立帳戶管理員。

若要啟用帳戶控制台並建立您的第一個帳戶管理員，您必須洽詢具有 Microsoft Entra ID（先前稱為 Azure Active Directory）Global 管理員 istrator 角色的人員。 基於安全性考慮，只有具有 Microsoft Entra ID Global 管理員 istrator 角色的人員具有指派第一個帳戶管理員角色的許可權。 完成這些步驟之後，您可以從 Azure Databricks 帳戶中移除 Global 管理員 istrator。

Global 管理員 istrator 應該使用下列指示：

1. 使用全域 管理員 認證登入 Azure 入口網站。
2. 移至 accounts.azuredatabricks.net 並使用 Microsoft Entra ID 登入。 Azure Databricks 會自動為您建立帳戶管理員角色。
3. 按兩下 [ 使用者管理]。
4. 尋找並按下您要委派帳戶管理員角色的用戶名稱。
5. 在 [ 角色] 索引標籤上，開啟 [ 帳戶管理員]。

一旦另一位使用者具有帳戶管理員角色，Microsoft Entra ID Global 管理員 istrator 就不再需要參與其中。 新的帳戶管理員可以從 Azure Databricks 帳戶中移除 Global 管理員 istrator，並指派其他用戶帳戶管理員角色。

存取帳戶主控台

帳戶主控台是帳戶管理員管理其 Azure Databricks 帳戶的位置。

帳戶管理員可以在 工作區 UI 頂端按兩下其電子郵件地址，然後選取 [管理帳戶] 來存取帳戶控制台https://accounts.azuredatabricks.net。

不是帳戶管理員的帳戶使用者只能從 https://accounts.azuredatabricks.net 存取帳戶。 登入時，帳戶主控台會開啟至其工作區清單。

注意

如果您位於多個 Microsoft Entra ID 租使用者中，帳戶控制台 URL 會帶您前往預設租使用者中的 Azure Databricks 帳戶控制台。 若要存取不同租使用者的帳戶控制台，請從您慣用租使用者的工作區內存取帳戶控制台。

帳戶管理員責任

身為帳戶管理員，您的責任包括：

• 啟用 Unity 目錄
• 管理身分識別
• 監視帳戶使用量記錄
• 管理帳戶層級設定

啟用 Unity 目錄

注意

如果您的 Azure Databricks 帳戶是在 2023 年 11 月 9 日之後建立的，您的工作區預設可能會啟用 Unity 目錄。 如需詳細資訊，請參閱 自動啟用 Unity 目錄。

需要帳戶管理員，才能在您的帳戶中啟用 Unity 目錄。 此程式牽涉到建立 Unity 目錄中繼存放區，而此中繼存放區只能由帳戶管理員完成。

如需啟用 Unity 目錄的指示，請參閱 開始使用 Unity 目錄。

管理身分識別

如果適用，帳戶管理員應將其識別提供者與 Azure Databricks 同步處理。 請參閱 從 Microsoft Entra 識別碼同步使用者和群組。

如果您已在帳戶中至少啟用一個工作區的 Unity 目錄，則應該在帳戶控制台中管理身分識別（使用者、群組和服務主體）。 帳戶管理員可以授與許可權，並將工作區指派給這些身分識別。

如需詳細資訊，請參閱 管理使用者和群組。

使用系統數據表監視帳戶

系統數據表是目錄中您帳戶作業數據的 system Azure Databricks 裝載分析存放區。 帳戶管理員可以讓系統數據表存取稽核記錄、可計費的使用記錄、譜系數據等等。 請參閱 使用系統數據表監視使用量。

管理帳戶設定

帳戶管理員可以使用 [設定] 區段，從帳戶控制台管理其 Azure Databricks 帳戶的各個層面。 這包括跨帳戶啟用新功能，以及設定IP存取清單。

什麼是工作區管理員？

工作區系統管理員在單一工作區內具有系統管理員許可權。 他們可以管理工作區層級身分識別、規範計算使用，以及啟用和委派角色型訪問控制（僅限 進階版 方案）。

存取系統管理員設定

工作區系統管理員是唯一有權存取工作區系統管理員設定頁面的使用者。 身為工作區系統管理員，您可以按兩下 Azure Databricks 工作區頂端列中的使用者名稱，然後選取 [管理員 設定] 來存取系統管理員設定。

工作區管理員責任

身為工作區系統管理員，您的責任包括：

• 管理工作區中的身分識別
• 建立和管理計算資源
• 管理工作區功能和設定

管理工作區中的身分識別

如果您的工作區已啟用 Unity 目錄，則應該在帳戶層級新增身分識別。 工作區系統管理員接著可以將使用者、群組和服務主體指派給其工作區。 如需在工作區中新增和移除身分識別的詳細資訊，請參閱 管理使用者、服務主體和群組。

注意

Databricks Academy 有一個關於身分識別 管理員 自由課程。 在您可以存取課程之前，如果您尚未註冊 Databricks Academy，您必須先註冊。

建立和管理計算資源

工作區管理員可以建立 SQL 倉儲（計算資源，可讓您針對 Databricks SQL 內的數據物件執行 SQL 命令），以及為其工作區使用者執行叢集。 如需建立 SQL 倉儲的指示，請參閱 建立 SQL 倉儲。

這也是工作區系統管理員的工作，可規範其工作區中的計算資源使用方式。 工作區系統管理員具有下列工具：

• 使用 叢集原則限制工作區使用者的叢集建立選項。
  • Databricks 建議將所有 init 腳本管理為叢集範圍的 init 腳本。 不要使用 全域 init 腳本，而是使用叢集原則來管理 init 剪貼。
• 瞭解哪些計算資源具有 Unity 目錄存取權。

注意

Databricks Academy 有計算資源 管理員 免費課程。

管理工作區功能和設定

工作區系統管理員負責管理選取的工作區行為和設定。 如需其他可用工作區設定的資訊，請參閱 管理工作區設定。

注意

Databricks Academy 有 Databricks 工作區的免費課程，管理員 管理和安全性。

其他資源

Databricks Academy 為平台系統管理員提供免費的自我步調學習路徑。 在您可以存取課程之前，如果您尚未註冊 Databricks Academy，您必須先註冊。

您也可以註冊以參加 即時平臺管理訓練。