Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Databricks verfügt über many-Administratorrollen. Aus Sicht der Unity-Katalogberechtigungen sind die drei wichtigsten Kontoadministratoren, Arbeitsbereichsadministratoren und Metastore-Administratoren. Kontoadministratoren und Arbeitsbereichsadministratoren sind für alle Bereitstellungen erforderlich, und die Metastore-Administratorrolle ist optional. Wenn Sie die Zuständigkeiten jeder Rolle verstehen, können Sie Administratoren mit dem richtigen Bereich zuweisen.
- Account admins arbeiten auf Azure Databricks Kontoebene. Sie erstellen Metastores und Arbeitsbereiche und können Administratorrollen zuweisen.
- Arbeitsbereichsadministratoren arbeiten innerhalb eines einzelnen Arbeitsbereichs. Sie verwalten Arbeitsbereichsmitgliedschaften, Aufträge und Arbeitsbereichsobjekte.
- Metastore-Administratoren (optional) werden in einem einzigen Unity-Katalog-Metastore ausgeführt. Sie steuern den Datenzugriff, den Besitz und die Sicherungsobjekte des Unity-Katalogs auf oberster Ebene.
Administratorrollen auf einen Blick
| Admin-Rolle | Geltungsbereich | Erforderlich? | Hauptzweck |
|---|---|---|---|
| Kontoadministrator | Gesamtes Azure Databricks-Konto | Yes | Erstellen von Metastores und Arbeitsbereichen, Verknüpfen von Metastores mit Arbeitsbereichen, Zuweisen von Administratorrollen |
| Arbeitsbereichsadministrator | Einzelner Arbeitsbereich | Yes | Verwalten von Arbeitsbereichsmitgliedschaften, Auftragsbesitz und Arbeitsbereichsobjekten; Erstellen von Katalogen und anderen sicherungsfähigen Unity-Katalogen auf oberster Ebene |
| Metastore-Administrator*in | Einzel-Unity-Katalog-Metastore (eins pro Cloudregion) | Nein (optional) | Erstellen und Steuern von sicherungsfähigen Unity-Katalogen auf oberster Ebene: Kataloge, Verbindungen, externe Speicherorte und andere Metastore-Objekte |
Note
Kontoadministratoren und Metastore-Administratoren sind separate Rollen. Wenn ein Kontoadministrator einen Metastore erstellt, wird er standardmäßig zum ursprünglichen Metastore-Administrator. Sie können dann die Metastore-Administratorrolle einem anderen Benutzer, einer anderen Gruppe oder einem Dienstprinzipal zuweisen und sie selbst zuweisen.
Kontoadministratoren
Die Rolle „Kontoadministrator“ ist mit umfassenden Berechtigungen ausgestattet, weshalb Sie sie mit Bedacht zuweisen sollten. Kontoadministratoren verfügen über Berechtigungen für das gesamte Azure Databricks-Konto, das die folgenden Schlüsselfunktionen umfasst:
| Fähigkeit | Description |
|---|---|
| Erstellen von Metaspeichern | Erstellen von Metastores und standardmäßig zum anfänglichen Metastore-Administrator |
| Erstellen von Arbeitsbereichen | Erstellen und Verwalten von Arbeitsbereichen im Konto |
| Verknüpfen von Metastores mit Arbeitsbereichen | Zuordnen von Metaspeichern zu bestimmten Arbeitsbereichen |
| Zuweisen der Kontoadministratorrolle | Delegieren der Kontoadministratorrolle an einen beliebigen Benutzer |
| Zuweisen der Arbeitsbereichsadministratorrolle | Gewähren der Administratorrolle des Arbeitsbereichs jedem Benutzer in einem beliebigen Arbeitsbereich des Kontos |
| Zuweisen der (optionalen) Metastore-Administratorrolle | Zuweisen der (optionalen) Metastore-Administratorrolle zu Benutzern, Dienstprinzipalen oder Gruppen |
| Gewähren von Berechtigungen für Metastores | Verwalten von Berechtigungen auf metastore-Ebene |
| Aktivieren der Delta-Freigabe für einen Metastore | Aktivieren der Delta-Freigabefunktion für einen Metastore |
| Konfigurieren von Speicheranmeldeinformationen | Einrichten von Speicheranmeldeinformationen für den Zugriff auf Cloudspeicher |
| Aktivieren von Systemtabellen | Aktivieren von Systemtabellen und Steuern, wer darauf zugreifen kann |
Weitere Informationen finden Sie unter Was sind Kontoadministratoren?.
Informationen zum Einrichten Ihres ersten Azure Databricks-Kontoadministrators finden Sie unter Einrichten Ihres ersten Kontoadministrators.
Arbeitsbereichsadministratoren
Die Rolle „Arbeitsbereichsadministrator“ ist mit umfassenden Berechtigungen ausgestattet, weshalb Sie sie mit Bedacht zuweisen sollten. Arbeitsbereichsadministratoren verfügen über Administratorrechte innerhalb eines einzelnen Arbeitsbereichs, einschließlich der folgenden Schlüsselfunktionen:
| Fähigkeit | Description |
|---|---|
| Erstellen von Katalogen und anderen sicherungsfähigen Unity-Katalogen auf oberster Ebene (gilt für Arbeitsbereiche, die nach dem 9. November 2023 erstellt wurden) | Erstellen Sie Kataloge, externe Speicherorte, Verbindungen und andere Objekte auf Metastoreebene. Siehe Arbeitsbereichsadministratorberechtigungen, wenn Arbeitsbereiche automatisch für den Unity-Katalog für die vollständige Liste aktiviert sind. |
| Verwalten der Arbeitsbereichsmitgliedschaft | Hinzufügen von Benutzern, Dienstprinzipalen und Gruppen zu einem Arbeitsbereich |
| Zuweisen der Arbeitsbereichsadministratorrolle | Zuweisen der Arbeitsbereichsadministratorrolle zu Benutzern, Dienstprinzipalen oder Gruppen |
| Verwalten des Auftragsbesitzes | Steuern des Auftragsbesitzes. Weitere Informationen finden Sie unter Steuern des Zugriffs auf einen Auftrag. |
| Verwalten des Auftrags "Ausführen als Einstellung" | Konfigurieren sie die Auftragsausführungsidentität. Siehe Konfigurieren des Ausführens als Benutzer für Auftragsausführungen. |
| Anzeigen und Verwalten von Arbeitsbereichsobjekten | Zugreifen und Steuern von Notizbüchern, Dashboards, Abfragen und anderen Arbeitsbereichsobjekten. Siehe Zugriffssteuerungslisten. |
Weitere Informationen finden Sie unter Was sind Arbeitsbereichsadministratoren?.
Kontoadministratoren können arbeitsbereichsadministratorrechte mithilfe der RestrictWorkspaceAdmins Einstellung einschränken. Siehe Restrict workspace admins (Einschränken von Arbeitsbereichsadministratoren).
Arbeitsbereichsadministratorberechtigungen, wenn Arbeitsbereiche automatisch für Unity Catalog aktiviert sind
Wenn Ihr Arbeitsbereich für Unity-Katalog automatisch aktiviert wurde (gilt für alle Arbeitsbereiche, die nach dem 9. November 2023 erstellt wurden), wird der Arbeitsbereich standardmäßig an einen Metaspeicher angefügt. Weitere Informationen finden Sie unter Automatische Aktivierung des Unity Catalog. Darüber hinaus verfügen Arbeitsbereichsadministratoren standardmäßig über die folgenden Berechtigungen für den angefügten Metastore:
CREATE CATALOG
CREATE CLEAN ROOM
CREATE EXTERNAL LOCATIONCREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALCREATE CONNECTIONCREATE SHARECREATE RECIPIENTCREATE PROVIDERCREATE MATERIALIZED VIEW
Note
Diese Berechtigungserteilungen sind auf der Registerkarte " Metastoreberechtigungen " in der Kontokonsole sichtbar. Azure Databricks stellt sie mit einer automatisch generierten Systemgruppe namens dar _workspace_admins_databricks_<account_id>_workspace_<workspace_id>.
Arbeitsbereichsadministrator*innen sind die Standardbesitzer*innen des Arbeitsbereichskatalogs, sofern ein Arbeitsbereichskatalog für Ihren Arbeitsbereich bereitgestellt wurde. Der Besitz dieses Katalogs gewährt die folgenden Berechtigungen:
Verwalten Sie die Berechtigungen für oder übertragen Sie den Besitz eines Objekts innerhalb des Arbeitsbereichkatalogs.
Dies umfasst die Möglichkeit, sich selbst Lese- und Schreibzugriff auf alle Daten im Katalog zu gewähren (standardmäßig kein direkter Zugriff; das Erteilen von Berechtigungen wird überwacht).
Übertragen des Besitzes des Arbeitsbereichkatalogs selbst.
Alle Arbeitsbereichsbenutzer erhalten die USE CATALOG-Berechtigung für den Arbeitsbereichkatalog. Arbeitsbereichsbenutzer*innen erhalten außerdem die Berechtigungen USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION und CREATE MATERIALIZED VIEW für das default-Schema im Katalog.
Note
Die im angefügten Metastore und Arbeitsbereichkatalog gewährten Standardberechtigungen werden nicht über Arbeitsbereiche hinweg verwaltet (wenn der Arbeitsbereichkatalog beispielsweise auch an einen anderen Arbeitsbereich gebunden ist).
Metastore-Administratoren
Der Metastore-Administrator ist ein Benutzer oder eine Gruppe, der bzw. die optional ist, aber über umfassende Berechtigungen in Unity Catalog verfügt. Metastore-Administratoren verfügen über Berechtigungen aus zwei Quellen: Standardberechtigungen, die von der Rolle gewährt werden, und Besitzerberechtigungen, da sie die Besitzer des Metastores sind.
Wann ein Metastore-Administrator zugewiesen werden soll
Für Arbeitsbereiche, die nach dem 9. November 2023 erstellt wurden, ist die Metastore-Administratorrolle optional. Dies liegt daran, dass Arbeitsbereichsadministratoren standardmäßig ausreichende Berechtigungen auf Metastoreebene erhalten (siehe Arbeitsbereichsadministratorberechtigungen, wenn Arbeitsbereiche automatisch für Unity-Katalog aktiviert sind). Sie müssen jedoch einen Metastore-Administrator zuweisen, wenn Sie die folgenden Aktionen ausführen müssen:
- Ändern Sie den Besitz von Objekten, oder gewähren Sie Berechtigungen für Objekte, die Sie nicht besitzen. Dies ist beispielsweise erforderlich, wenn ein Katalog übernommen wird, nachdem das ursprüngliche Besitzerkonto entfernt wurde. Arbeitsbereichsadministratoren können Objekte erstellen, jedoch keine Zuschüsse vornehmen oder den Besitz vorhandener Objekte ändern, die sie nicht besitzen.
- Entfernen Sie standardmäßige Administratorberechtigungen für Arbeitsbereiche.
- Fügen Sie dem Metastore verwalteten Speicher hinzu, wenn er noch keinen aufweist. Dazu muss ein Kontoadministrator den Speicherort der Metastoredefinition hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von verwaltetem Speicher zu einem vorhandenen Metastore.
- Aktivieren Sie standardmäßige Zugriffsanforderungsziele für Objekte, für die keine Ziele explizit festgelegt sind. Siehe "Standard-E-Mail-Ziele aktivieren".
Standardmäßige Metastore-Administratorrechte
Metastore-Administratoren haben standardmäßig die folgenden Berechtigungen für den Metastore:
| Privileg | Description |
|---|---|
CREATE CATALOG |
Erstellen von Katalogen im Metastore |
CREATE CLEAN ROOM |
Erstellen sie einen Reinraum für die sichere Zusammenarbeit an Projekten mit anderen Organisationen, ohne zugrunde liegende Daten freizulegen |
CREATE CONNECTION |
Erstellen einer Verbindung mit einer externen Datenbank in einem Lakehouse-Verbundszenario |
CREATE EXTERNAL LOCATION |
Erstellen externer Speicherorte |
CREATE SERVICE CREDENTIAL |
Erstellen von Dienstanmeldeinformationen |
CREATE STORAGE CREDENTIAL |
Erstellen von Speicheranmeldeinformationen |
CREATE FOREIGN CATALOG |
Erstellen von fremden Katalogen mithilfe einer Verbindung mit einer externen Datenbank in einem Lakehouse Federation-Szenario |
CREATE SHARE |
Erstellen einer Freigabe in Der Delta-Freigabe als Datenanbieter |
CREATE RECIPIENT |
Erstellen eines Empfängers in Der Delta-Freigabe als Datenanbieter |
CREATE PROVIDER |
Erstellen eines Anbieters in Delta-Freigabe als Datenempfänger |
CREATE MATERIALIZED VIEW |
Materialisierte Ansichten erstellen |
MANAGE ALLOWLIST |
Aktualisieren von Zulassungslisten , die den Clusterzugriff auf init-Skripts und -Bibliotheken verwalten |
Besitzrechte
Als Besitzer des Metastores haben Metastore-Administratoren die folgenden Berechtigungen:
| Privileg | Description |
|---|---|
| Verwalten von Berechtigungen und Übertragen des Besitzes | Verwalten von Berechtigungen oder Übertragen des Besitzes von Objekten innerhalb des Metastores, einschließlich Speicheranmeldeinformationen, externen Speicherorten, Verbindungen, Freigaben, Empfängern und Anbietern |
| Gewähren des Zugriffs auf Daten | Gewähren Sie jedem Lese- und Schreibzugriff auf alle Daten im Metastore. Diese Möglichkeit ist indirekt, da Metastore-Administratoren den Besitz eines objekts an sich selbst übertragen können. Standardmäßig ist kein direkter Zugriff vorhanden. Berechtigungserteilungen werden überwacht. |
| Verwalten von Objektmetadaten | Lesen und Aktualisieren der Metadaten aller Objekte im Metastore |
| Verwalten von Kategorien | Festlegen von Tags für alle Objekte im Metastore |
| Konfigurieren von Zugriffsanforderungszielen | Aktivieren von Standardmäßigen Zugriffsanforderungszielen im Metastore |
| Metastore löschen | Löschen des Metastores |
Wer hat anfänglich Metastore-Administratorrechte?
Wenn ein Kontoadministrator den Metastore manuell erstellt, ist dieser Kontoadministrator der ursprüngliche Besitzer und Metastore-Administrator des Metastores. Alle metastores, die vor dem 9. November 2023 erstellt wurden, wurden manuell von einem Kontoadministrator erstellt.
Wenn der Metastore als Teil der automatischen Aktivierung des Unity Catalog bereitgestellt wurde, wurde der Metastore ohne einen Metastore-Administrator erstellt. In diesem Fall werden Arbeitsbereichsadministratoren automatisch Berechtigungen gewährt, die den Metastore-Administrator optional machen. Bei Bedarf können Kontoadministratoren die Metastore-Administratorrolle einem Benutzer, Dienstprinzipal oder einer Gruppe zuweisen. Gruppen werden dringend empfohlen. Siehe Automatische Aktivierung des Unity Catalog.
Zuweisen eines Metastoreadministrators
Die Rolle „Metastore-Administrator“ ist mit umfassenden Berechtigungen ausgestattet, weshalb Sie sie mit Bedacht zuweisen sollten. Der Vorgang ist optional.
Kontoadministratoren können die Metastore-Administratorrolle zuweisen. Databricks empfiehlt, eine Gruppe als Metastore-Administrator zu benennen. Dadurch ist jedes Mitglied der Gruppe automatisch ein Metastore-Administrator.
So weisen Sie die Metastore-Administratorrolle an eine Gruppe zu.
- Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
- Klicken Sie auf
Katalog. - Klicken Sie auf den Namen eines Metastores, um dessen Eigenschaften zu öffnen.
- Klicken Sie unter Metastoreadministrator auf Bearbeiten.
- Wählen Sie eine Gruppe aus der Dropdownliste aus. Sie können Text in das Feld eingeben, um nach Optionen zu suchen.
- Klicken Sie auf "Speichern".
Important
Es kann bis zu 30 Sekunden dauern, bis sich eine Änderung der Metastore-Administratorzuweisung in Ihrem Konto widerspiegelt, und in einigen Arbeitsbereichen kann es länger als in anderen dauern, bis sie wirksam wird. Diese Verzögerung ist auf das Zwischenspeichern von Protokollen zurückzuführen.