Visão geral da administração do Databricks

Este artigo fornece uma introdução aos privilégios e responsabilidades de administrador do Azure Databricks.

Permissões de administrador do Azure necessárias

Para criar um workspace do Azure Databricks ou fazer logon em um workspace do Azure Databricks como administrador do workspace, você deve ser um dos seguintes:

• Um usuário com a função Colaborador ou Proprietário do Azure no nível da assinatura.
• Um usuário com uma definição de função personalizada que tem a seguinte lista de permissões:
  • Microsoft.Databricks/workspaces/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/write
  • Microsoft.Databricks/accessConnectors/*
  • Microsoft.Compute/register/action
  • Microsoft.ManagedIdentity/register/action
  • Microsoft.Storage/register/action
  • Microsoft.Network/register/action
  • Microsoft.Resources/deployments/validate/action
  • Microsoft.Resources/deployments/write
  • Microsoft.Resources/deployments/read

Depois que você receber a função de administrador do workspace no Azure Databricks, as funções acima do Azure não serão mais necessárias. Você mantém o acesso de administrador do workspace mesmo que essas funções do Azure sejam removidas. Os administradores do workspace também podem conceder aos usuários adicionais a função de administrador do workspace no Azure Databricks, independentemente das funções do Azure desses usuários.

Tipos de administrador do Databricks

Há dois níveis principais de privilégios de administrador disponíveis na plataforma do Azure Databricks:

• Administradores de conta: gerencie a conta do Azure Databricks, incluindo habilitar o Catálogo do Unity, o provisionamento de usuários e o gerenciamento de identidade no nível da conta.

• Administradores de Workspace: Gerenciam identidades de áreas de trabalho, controle de acesso, configurações e recursos para áreas de trabalho individuais dentro da conta.

Além disso, os usuários podem receber essas funções de administrador específicas do recurso, que têm conjuntos mais estreitos de privilégios:

• Administradores do Marketplace: gerencie o perfil de provedor do Databricks Marketplace de sua conta, incluindo a criação e o gerenciamento de listagens do Marketplace.
• Administradores do Metastore: Gerenciar privilégios e propriedade para todos os objetos securáveis em um metastore do Unity Catalog, como quem pode criar catálogos ou consultar uma tabela.

• Administradores de cobrança: exiba os orçamentos e gerencie as políticas de orçamento sem servidor em toda a conta.

O que são administradores de conta?

Os administradores de conta têm privilégios em toda a conta do Azure Databricks. Como administrador de conta, você pode gerenciar configurações de conta, configurar o provisionamento de usuário, criar metastores para habilitação do Catálogo do Unity e gerenciar identidades em todos os workspaces da conta.

Os administradores de conta também podem delegar as funções de administrador de conta e administrador de workspace a qualquer outro usuário.

Estabelecer seu primeiro administrador de conta

Para segurança e integridade organizacional, o Databricks exige que um Administrador Global de ID do Microsoft Entra estabeleça a primeira função de administrador de conta da sua conta. Isso garante que uma função de administrador altamente privilegiada específica do serviço não seja criada sem supervisão de um administrador com privilégios mais altos.

Depois de concluir essas etapas, você pode remover o Administrador Global da conta do Azure Databricks.

O Administrador Global deve usar as seguintes instruções:

1. Entre no Portal do Azure com suas credenciais de Administrador Global.
2. Acesse accounts.azuredatabricks.net e entre com a ID do Microsoft Entra. O Azure Databricks cria automaticamente uma função de administrador de conta para você.
3. Clique no gerenciamento de usuários.
4. Localize e clique no nome de usuário ao qual você deseja delegar a função de administrador da conta.
5. Na guia Funções , ative o administrador da conta.

Depois que outro usuário tiver a função de administrador da conta, o Administrador Global da ID do Microsoft Entra não precisará mais ser envolvido. O novo administrador da conta pode remover o Administrador Global da conta do Azure Databricks e atribuir a outros usuários a função de administrador da conta.

Acessar o console da conta

O console da conta é onde os administradores de conta gerenciam sua conta do Azure Databricks.

Os administradores da conta podem acessar o console da conta em https://accounts.azuredatabricks.net ou clicando no seletor de workspace na parte superior da IU do workspace e selecionando Gerenciar conta.

Os usuários da conta que não são administradores de conta só podem acessar a conta a partir de https://accounts.azuredatabricks.net. Ao fazer login, o console da conta é aberto para uma lista de seus espaços de trabalho.

Responsabilidades do administrador da conta

Como administrador de conta, suas responsabilidades incluem:

• Habilitando o Catálogo do Unity
• Gerenciando identidades
• Monitoramento de logs de uso da conta
• Gerenciando configurações de nível de conta
• Gerenciando visualizações do Databricks

Habilitar Catálogo do Unity

Um administrador de conta é necessário para habilitar o Catálogo do Unity em sua conta. O processo envolve a criação de um metastore do Catálogo do Unity, que só pode ser feito por um administrador de conta.

Para obter instruções sobre como habilitar o Catálogo do Unity, consulte Introdução ao uso do Catálogo do Unity.

Gerenciar identidades

Os administradores de conta devem sincronizar seu provedor de identidade com o Azure Databricks, se aplicável. Consulte Sincronizar usuários e grupos do Microsoft Entra ID usando SCIM.

Se você habilitou o Unity Catalog para pelo menos um workspace em sua conta, as identidades (usuários, grupos e principais de serviço) devem ser gerenciadas no console da conta. Os administradores de conta podem conceder permissões e atribuir workspaces a essas identidades.

Para obter mais informações, consulte Gerenciar usuários e grupos.

Monitorar contas com tabelas do sistema

As tabelas do sistema são um armazenamento analítico hospedado no Azure Databricks dos dados operacionais de sua conta, encontrados no catálogo system. Administradores de contas podem habilitar tabelas do sistema para acessar logs de auditoria, logs de uso faturáveis, dados de linhagem e muito mais. Consulte Monitorar a atividade da conta com tabelas do sistema.

Gerenciar configurações de conta

Os administradores de conta podem gerenciar aspectos de sua conta do Azure Databricks no console da conta usando a seção Configurações . Isso inclui habilitar novos recursos em toda a conta e configurar listas de acesso IP.

Gerenciar visualizações

Gerencie as Pré-visualizações do Azure Databricks no seu ambiente de trabalho ou nos ambientes de trabalho de uma organização. As visualizações fornecem acesso antecipado aos recursos antes de serem lançados para GA (disponibilidade geral). Consulte Gerenciar visualizações do Azure Databricks.

O que são administradores de workspace?

Os administradores do workspace têm privilégios de administrador em um único workspace. Eles podem gerenciar identidades no nível do workspace, regular o uso de computação e habilitar e delegar controle de acesso baseado em função (somente plano Premium ).

Acessar as configurações de administrador

Os administradores do workspace são os únicos usuários que têm acesso à página de configurações de administrador do workspace. Como administrador do workspace, você pode acessar as configurações de administrador clicando em seu nome de usuário na barra superior do workspace do Azure Databricks e selecionando Configurações.

Responsabilidades do administrador do workspace

Como administrador do workspace, suas responsabilidades incluem:

• Gerenciando identidades em seu workspace
• Criando e gerenciando recursos de computação
• Gerenciando recursos e configurações do workspace

Gerenciar identidades em seu espaço de trabalho

Se o workspace estiver habilitado para o Catálogo do Unity, as identidades deverão ser adicionadas no nível da conta. Os administradores do espaço de trabalho podem atribuir usuários, grupos e entidades de serviço ao seu espaço de trabalho. Para obter mais informações sobre como adicionar e remover identidades em um workspace, consulte Gerenciar usuários, entidades de serviço e grupos.

Criar e gerenciar recursos de computação

Os administradores do workspace podem criar sql warehouses (um recurso de computação que permite executar comandos SQL em objetos de dados no DATAbricks SQL) e clusters para seus usuários do workspace. Para obter instruções sobre como criar sql warehouses, consulte Criar um SQL Warehouse.

Também é trabalho do administrador do workspace regular como os recursos de computação são usados em seu workspace. Os administradores do workspace têm as seguintes ferramentas:

• Limite as opções de criação de cluster dos usuários do workspace com políticas de cluster.
  • O Databricks recomenda gerenciar todos os scripts de inicialização como scripts de inicialização clusterizados. Em vez de usar scripts de inicialização globais, gerencie scipts init usando políticas de cluster.
• Saiba quais recursos de computação têm acesso ao Catálogo do Unity.

Gerenciar recursos e configurações de workspaces

Os administradores do espaço de trabalho são responsáveis por gerenciar o comportamento e as configurações do espaço de trabalho. Para obter informações sobre outras configurações de workspace disponíveis, consulte Gerenciando as configurações do workspace.

Recursos adicionais

A Databricks Academy tem um roteiro de aprendizagem gratuito para administradores de plataforma. Antes de poder acessar o curso, primeiro você precisará se registrar no Databricks Academy , caso ainda não tenha feito isso.

Você também pode se inscrever para participar de um treinamento de administração de plataforma ao vivo.

Você também pode obter respostas para muitas perguntas na Comunidade do Databricks.