Azure Databricks 管理简介

项目
03/25/2024

本文提供 Azure Databricks 管理员特权和职责的说明。

所需的 Azure 管理员权限

若要管理 Azure Databricks 服务，需要以下 Azure 管理员权限：

具有 Azure“参与者”或“所有者”角色的用户，该用户可以查看和更改 Azure Databricks 服务、Azure 订阅以及诊断日志配置。
有权启用 Microsoft Entra ID（前 Azure Active Directory）条件访问的 Microsoft Entra ID 管理员。
若要创建 Azure Databricks 工作区，需要满足以下要求之一：
- 必须是 Azure 参与者或所有者。
- 必须在订阅中注册 Microsoft.ManagedIdentity 资源提供程序。请参阅 Azure 文档中的注册资源提供程序。

Databricks 管理员类型

Azure Databricks 平台上有两个主级别的管理员权限：

帐户管理员：管理 Azure Databricks 帐户，包括启用 Unity Catalog，进行用户预配和帐户级标识管理。
工作区管理员：管理帐户中各个工作区的工作区标识、访问控制、设置和功能。

此外，还可以为用户分配这些功能特定的管理员角色，这些角色具有更窄的权限集：

元存储管理员 - 管理 Unity Catalog 中所有安全对象的权限和所有权，例如谁可以创建目录或查询表。

什么是帐户管理员？

帐户管理员对整个 Azure Databricks 帐户拥有特权。帐户管理员可以管理帐户设置、设置用户预配、创建元存储来启用 Unity Catalog，以及管理帐户中所有工作区的标识。

帐户管理员还可以将帐户管理员和工作区管理员角色委托给任何其他用户。

建立第一个帐户管理员

注意

必须先在帐户中部署至少一个 Azure Databricks 工作区，然后才能建立帐户管理员。

若要启用帐户控制台并建立第一个帐户管理员，需要联系某个具有 Microsoft Entra ID（以前称为 Azure Active Directory）全局管理员角色的人员。出于安全考虑，只有具有 Microsoft Entra ID 全局管理员角色的人员有权分配第一个帐户管理员角色。完成这些步骤后，可以从 Azure Databricks 帐户中删除全局管理员。

全局管理员应使用以下说明：

使用全局管理员凭据登录到 Azure 门户。
转到 accounts.databricks.azure.cn 并使用 Microsoft Entra ID 登录。 Azure Databricks 会自动为你创建一个帐户管理员角色。
单击“用户管理”。
找到并单击要向其委托帐户管理员角色的用户的用户名。
在“角色”选项卡上，启用“帐户管理员”。

向另一个用户委托帐户管理员角色后，就不再需要 Microsoft Entra ID 全局管理员的参与。新帐户管理员可以从 Azure Databricks 帐户中删除全局管理员，并为其他用户分配帐户管理员角色。

访问帐户控制台

帐户控制台是帐户管理员管理其 Azure Databricks 帐户的位置。

默认帐户控制台视图

帐户管理员可以在 https://accounts.databricks.azure.cn 或者通过单击工作区 UI 顶部的电子邮件地址并选择“管理帐户”来访问帐户控制台。

帐户用户（非帐户管理员）只能从以下网址访问帐户：https://accounts.databricks.azure.cn。登录后，帐户控制台随即将打开并显示用户工作区列表。

注意

如果位于多个 Microsoft Entra ID 租户中，帐户控制台 URL 会转到默认租户中的 Azure Databricks 帐户控制台。若要访问其他租户的帐户控制台，请从首选租户的工作区中访问帐户控制台。

帐户管理员职责

帐户管理员的职责包括：

启用 Unity Catalog
管理标识
监视帐户使用情况日志
管理帐户级设置

启用 Unity Catalog

注意

如果你的 Azure Databricks 帐户在 2023 年 11 月 9 日之后创建，则工作区可能已默认启用 Unity 目录。有关详细信息，请参阅 Unity 目录的自动启用。

需要由帐户管理员在你的帐户中启用 Unity Catalog。此过程涉及创建 Unity Catalog 元存储，这只能由帐户管理员完成。

有关启用 Unity Catalog 的说明，请参阅开始使用 Unity Catalog。

管理标识

帐户管理员应将其标识提供者与 Azure Databricks 同步（如果适用）。请参阅从 Microsoft Entra ID 同步用户和组。

如果已为帐户中的至少一个工作区启用 Unity Catalog，则应在帐户控制台中管理标识（用户、组和服务主体）。帐户管理员可以授予权限并将工作区分配到这些标识。

有关详细信息，请参阅管理用户和组。

使用系统表监视帐户

系统表是在 system 目录中找到的帐户操作数据的 Azure Databricks 托管的分析存储。帐户管理员可以使系统表能够访问审核日志、计费使用情况日志、世系数据等。请参阅使用系统表监视使用情况。

管理帐户设置

帐户管理员可以在帐户控制台中使用“设置”部分管理其 Azure Databricks 帐户的各个方面。这包括在整个帐户中启用新功能，以及配置 IP 访问列表。

什么是工作区管理员？

工作区管理员在单个工作区中拥有管理员特权。他们可以管理工作区级标识、调控计算的使用，以及启用和委托基于角色的访问控制（仅限高级计划）。

访问管理设置

只有工作区管理员用户有权访问工作区的管理员设置页。工作区管理员可以通过单击 Azure Databricks 工作区顶部栏中的用户名并选择“管理员设置”来访问管理设置。

默认管理员设置视图

工作区管理员职责

工作区管理员的职责包括：

管理工作区中的标识
创建和管理计算资源
管理工作区功能和设置

管理工作区中的标识

如果你的工作区启用了 Unity Catalog，则应在帐户级别添加标识。然后，工作区管理员可以将用户、组和服务主体分配到其工作区。有关在工作区中添加和删除标识的详细信息，请参阅管理用户、服务主体和组。

创建和管理计算资源

工作区管理员可以为其工作区用户创建 SQL 仓库（一种计算资源，它允许针对 Databricks SQL 中的数据对象运行 SQL 命令）和群集。有关创建 SQL 仓库的说明，请参阅创建 SQL 仓库。

工作区管理员的职责还包括调控在其工作区中使用计算资源的方式。工作区管理员具有以下工具：

使用群集策略限制工作区用户的群集创建选项。
- Databricks 建议将所有 init 脚本作为群集范围的 init 脚本进行管理。使用群集策略来管理 init 脚本，而不是使用全局 init 脚本。
了解哪些计算资源具有 Unity Catalog 访问权限。

管理工作区功能和设置

工作区管理员负责管理特定的工作区行为和设置。有关其他可用工作区设置的信息，请参阅管理工作区设置。