Úvod do správy Azure Databricks
Tento článek obsahuje úvod k oprávněním a zodpovědnostem správce Azure Databricks.
Požadovaná oprávnění správce Azure
Ke správě služby Azure Databricks potřebujete jedno z následujících oprávnění správce Azure:
- Uživatel s rolí Přispěvatel nebo Vlastník Azure na úrovni předplatného.
- Uživatel s vlastní definicí role, která má následující seznam oprávnění:
Microsoft.Databricks/workspaces/*
Microsoft.Compute/register/action
Microsoft.ManagedIdentity/register/action
Microsoft.Storage/register/action
Microsoft.Network/register/action
Poznámka:
Oprávnění Microsoft.Compute/register/action
, , Microsoft.Storage/register/action
Microsoft.ManagedIdentity/register/action
Microsoft.Network/registe/actionr
nejsou vyžadována, pokud jsou tito poskytovatelé již zaregistrovaní v předplatném. Viz Registrace poskytovatele prostředků.
Typy správců Databricks
Na platformě Azure Databricks jsou k dispozici dvě hlavní úrovně oprávnění správce:
Správci účtů: Spravují účet Azure Databricks, včetně povolení katalogu Unity, zřizování uživatelů a správy identit na úrovni účtu.
Správci pracovního prostoru: Správa identit pracovních prostorů, řízení přístupu, nastavení a funkcí pro jednotlivé pracovní prostory v účtu.
Kromě toho je možné uživatelům přiřadit tyto role správce specifické pro funkce, které mají užší sady oprávnění:
Správci Marketplace: Spravují profil poskytovatele Databricks Marketplace svého účtu, včetně vytváření a správy výpisů z Marketplace.
Správci metastoru: Spravují oprávnění a vlastnictví pro všechny zabezpečitelné objekty v metastoru katalogu Unity, například kdo může vytvářet katalogy nebo dotazovat tabulku.
Správci fakturace: Umožňuje zobrazit rozpočty a spravovat zásady rozpočtu napříč účtem.
Co jsou správci účtu?
Správci účtů mají oprávnění k celému účtu Azure Databricks. Jako správce účtu můžete spravovat nastavení účtu, nastavit zřizování uživatelů, vytvářet metastory pro povolení katalogu Unity a spravovat identity ve všech pracovních prostorech v účtu.
Správci účtu můžou také delegovat role správce účtu a správce pracovního prostoru na jiného uživatele.
Vytvoření prvního správce účtu
Poznámka:
Abyste mohli vytvořit správce účtu, musíte mít ve svém účtu nasazený aspoň jeden pracovní prostor Azure Databricks.
Pokud chcete povolit konzolu účtu a zřídit svého prvního správce účtu, budete muset zapojit někoho, kdo má roli globálního správce Microsoft Entra ID. Pro účely zabezpečení má oprávnění k přiřazení první role správce účtu pouze někdo s rolí globálního správce Microsoft Entra ID. Po dokončení těchto kroků můžete globálního správce odebrat z účtu Azure Databricks.
Globální správce by měl použít následující pokyny:
- Přihlaste se k webu Azure Portal pomocí přihlašovacích údajů globálního správce.
- Přejděte na accounts.azuredatabricks.net a přihlaste se pomocí Microsoft Entra ID. Azure Databricks pro vás automaticky vytvoří roli správce účtu.
- Klikněte na Správa uživatelů.
- Vyhledejte a klikněte na uživatelské jméno uživatele, na kterého chcete delegovat roli správce účtu.
- Na kartě Role zapněte správce účtu.
Jakmile má jiný uživatel roli správce účtu, globální správce Microsoft Entra ID už nemusí být zapojen. Nový správce účtu může z účtu Azure Databricks odebrat globálního správce a přiřadit ostatním uživatelům roli správce účtu.
Přístup ke konzole účtu
Konzola účtu je místo, kde správci účtů spravují svůj účet Azure Databricks.
Správci účtů můžou získat přístup ke konzole účtu v horní https://accounts.azuredatabricks.net části uživatelského rozhraní pracovního prostoru nebo kliknutím na selektor pracovního prostoru a výběrem možnosti Spravovat účet.
Uživatelé účtu, kteří nejsou správci účtu, můžou k účtu přistupovat pouze na adrese https://accounts.azuredatabricks.net. Po přihlášení se konzola účtu otevře se seznamem svých pracovních prostorů.
Poznámka:
Pokud jste ve více tenantech Microsoft Entra ID, adresa URL konzoly účtu vás ve výchozím tenantovi přenese do konzoly účtu Azure Databricks. Pokud chcete získat přístup ke konzole účtu jiného tenanta, přejděte ke konzole účtu z pracovního prostoru ve vašem preferovaném tenantovi.
Odpovědnosti správce účtu
Jako správce účtu patří vaše odpovědnosti:
- Povolení katalogu Unity
- Správa identit
- Monitorování protokolů využití účtu
- Správa nastavení na úrovni účtu
- Správa náhledů Databricks
Povolení katalogu Unity
Poznámka:
Pokud byl váš účet Azure Databricks vytvořený po 9. listopadu 2023, vaše pracovní prostory můžou mít ve výchozím nastavení povolený katalog Unity. Další informace naleznete v tématu Automatické povolení katalogu Unity.
Správce účtu je potřeba k povolení katalogu Unity ve vašem účtu. Tento proces zahrnuje vytvoření metastoru katalogu Unity, který může provést pouze správce účtu.
Pokyny k povolení katalogu Unity najdete v tématu Začínáme používat katalog Unity.
Správa identit
Pokud je to možné, měli by správci účtu synchronizovat svého zprostředkovatele identity s Azure Databricks. Viz Synchronizace uživatelů a skupin z Microsoft Entra ID.
Pokud jste ve svém účtu povolili katalog Unity pro alespoň jeden pracovní prostor, identity (uživatelé, skupiny a instanční objekty) by se měly spravovat v konzole účtu. Správci účtů můžou těmto identitám udělit oprávnění a přiřazovat pracovní prostory.
Další informace najdete v tématu Správa uživatelů a skupin.
Monitorování účtu pomocí systémových tabulek
Systémové tabulky jsou analytické úložiště hostované službou Azure Databricks provozních dat vašeho účtu nalezených system
v katalogu. Správci účtů můžou povolit systémovým tabulkám přístup k protokolům auditu, fakturovatelným protokolům využití, datům rodokmenu a dalším. Viz Monitorování využití pomocí systémových tabulek.
Správa nastavení účtu
Správci účtů můžou spravovat aspekty svého účtu Azure Databricks z konzoly účtu pomocí části Nastavení . To zahrnuje povolení nových funkcí v rámci účtu a konfiguraci přístupových seznamů IP adres.
Správa náhledů
Spravujte verze Azure Databricks Preview ve vašem pracovním prostoru nebo v pracovních prostorech organizace. Verze Preview poskytují přednostní přístup k funkcím dříve, než budou vydány pro obecnou dostupnost (GA). Viz Správa azure Databricks Preview.
Co jsou správci pracovního prostoru?
Správci pracovního prostoru mají oprávnění správce v rámci jednoho pracovního prostoru. Můžou spravovat identity na úrovni pracovního prostoru, regulovat využití výpočetních prostředků a povolit a delegovat řízení přístupu na základě role (jenom plán Premium).
Přístup k nastavení správce
Správci pracovního prostoru jsou jedinými uživateli, kteří mají přístup ke stránce nastavení správce pracovního prostoru. Jako správce pracovního prostoru můžete získat přístup k nastavení správce kliknutím na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a výběrem nastavení.
Odpovědnosti správce pracovního prostoru
Jako správce pracovního prostoru patří vaše odpovědnosti:
- Správa identit ve vašem pracovním prostoru
- Vytváření a správa výpočetních prostředků
- Správa funkcí a nastavení pracovního prostoru
Správa identit ve vašem pracovním prostoru
Pokud je pro katalog Unity povolený váš pracovní prostor, měly by se identity přidat na úrovni účtu. Správci pracovního prostoru pak můžou uživatelům, skupinám a instančním objektům přiřadit jejich pracovní prostor. Další informace o přidávání a odebírání identit v pracovním prostoru najdete v tématu Správa uživatelů, instančních objektů a skupin.
Poznámka:
Databricks Academy má bezplatný kurz o správě identit. Než budete mít přístup k kurzu, musíte se nejprve zaregistrovat do Databricks Academy , pokud jste to ještě neudělali.
Vytváření a správa výpočetních prostředků
Správci pracovního prostoru můžou vytvářet sklady SQL (výpočetní prostředek, který umožňuje spouštět příkazy SQL na datových objektech v rámci Databricks SQL) a clustery pro uživatele pracovního prostoru. Pokyny k vytváření skladů SQL najdete v tématu Vytvoření služby SQL Warehouse.
Je to také úloha správce pracovního prostoru, která reguluje způsob použití výpočetních prostředků ve svém pracovním prostoru. Správci pracovního prostoru mají následující nástroje:
- Omezte možnosti vytváření clusteru uživatelů pracovního prostoru pomocí zásad clusteru.
- Databricks doporučuje spravovat všechny inicializační skripty jako inicializační skripty v oboru clusteru. Místo použití globálních inicializačních skriptů spravujte inicializační skripty pomocí zásad clusteru.
- Zjistěte, které výpočetní prostředky mají přístup ke katalogu Unity.
Poznámka:
Databricks Academy má bezplatný kurz o správě výpočetních prostředků.
Správa funkcí a nastavení pracovních prostorů
Správci pracovního prostoru zodpovídají za správu vybraného chování a nastavení pracovního prostoru. Informace o dalších dostupných nastaveních pracovního prostoru najdete v tématu Správa nastavení pracovního prostoru.
Poznámka:
Databricks Academy má bezplatný kurz o správě a zabezpečení pracovních prostorů Databricks.
Další materiály
Databricks Academy nabízí bezplatný studijní program pro správce platforem. Než budete mít přístup k kurzu, musíte se nejprve zaregistrovat do Databricks Academy , pokud jste to ještě neudělali.
Můžete se také zaregistrovat a zúčastnit se školení pro správu živé platformy.