Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Databricks ha ruoli di amministratore many. Dal punto di vista delle autorizzazioni del catalogo Unity, le tre più importanti sono gli amministratori dell'account, gli amministratori dell'area di lavoro e gli amministratori del metastore. Gli amministratori dell'account e gli amministratori dell'area di lavoro sono necessari per tutte le distribuzioni e il ruolo di amministratore del metastore è facoltativo. La comprensione delle responsabilità di ogni ruolo consente di assegnare gli amministratori con l'ambito corretto.
- gli amministratori Account operano a livello di account Azure Databricks. Creano e collegano metastore e aree di lavoro e possono assegnare ruoli di amministratore.
- Gli amministratori dell'area di lavoro operano all'interno di una singola area di lavoro. Gestiscono l'appartenenza all'area di lavoro, i processi e gli oggetti dell'area di lavoro.
- Gli amministratori metastore (facoltativi) operano all'interno di un singolo metastore del catalogo Unity. Controllano l'accesso ai dati, la proprietà e gli oggetti a protezione diretta di Unity Catalog di primo livello.
Ruoli di amministratore a colpo d'occhio
| Ruolo amministratore | Ambito | Obbligatorio? | Scopo principale |
|---|---|---|---|
| Amministratore dell'account | Account Azure Databricks completo | Yes | Creare metastore e aree di lavoro, collegare metastore alle aree di lavoro, assegnare ruoli di amministratore |
| Amministratore dell'area di lavoro | Area di lavoro singola | Yes | Gestire l'appartenenza all'area di lavoro, la proprietà del processo e gli oggetti dell'area di lavoro; creare cataloghi e altri oggetti a protezione diretta di Unity Catalog di primo livello |
| Amministratore metastore | Metastore del catalogo Unity singolo (uno per area cloud) | No (facoltativo) | Creare e gestire le entità a protezione diretta del catalogo Unity di primo livello: cataloghi, connessioni, posizioni esterne e altri oggetti metastore |
Note
Gli amministratori dell'account e gli amministratori del metastore sono ruoli separati. Quando un amministratore dell'account crea un metastore, diventa l'amministratore del metastore iniziale per impostazione predefinita. Possono quindi assegnare il ruolo di amministratore del metastore a un utente, un gruppo o un'entità servizio diversa e rinunciare a tale ruolo.
Amministratori account
Quello di amministratore dell’account è un ruolo privilegiato che deve essere distribuito con cautela. Gli amministratori dell'account hanno privilegi sull'intero account Azure Databricks, che include le funzionalità principali seguenti:
| Capability | Descrzione |
|---|---|
| Creare metastore | Creare metastore e diventare l'amministratore del metastore iniziale per impostazione predefinita |
| Creare aree di lavoro | Creare e gestire aree di lavoro nell'account |
| Collegare metastore alle aree di lavoro | Associare metastore a aree di lavoro specifiche |
| Assegnare il ruolo di amministratore dell'account | Delegare il ruolo di amministratore dell'account a qualsiasi utente |
| Assegnare il ruolo di amministratore dell'area di lavoro | Concedere il ruolo di amministratore dell'area di lavoro a qualsiasi utente in qualsiasi area di lavoro nell'account |
| Assegnare il ruolo di amministratore del metastore (facoltativo) | Assegnare il ruolo di amministratore del metastore (facoltativo) a utenti, entità servizio o gruppi |
| Concedere privilegi per i metastore | Gestire le autorizzazioni a livello di metastore |
| Abilitare la condivisione delta per un metastore | Abilitare la funzionalità di condivisione delta per un metastore |
| Configurare le credenziali di archiviazione | Configurare le credenziali di archiviazione per l'accesso all'archiviazione cloud |
| Abilitare le tabelle di sistema | Abilitare le tabelle di sistema e controllare chi può accedervi |
Per altre informazioni, vedere Che cosa sono gli amministratori dell'account?.
Per stabilire il primo amministratore dell'account di Azure Databricks, consultare Stabilire il primo amministratore dell'account.
Amministratori dell'area di lavoro
Quello di amministratore dell’area di lavoro è un ruolo altamente privilegiato che deve essere distribuito con cautela. Gli amministratori dell'area di lavoro dispongono di privilegi di amministratore all'interno di una singola area di lavoro, che include le funzionalità principali seguenti:
| Capability | Descrzione |
|---|---|
| Creare cataloghi e altri oggetti a protezione diretta di Unity Catalog di primo livello (si applica alle aree di lavoro create dopo il 9 novembre 2023) | Creare cataloghi, percorsi esterni, connessioni e altri oggetti a livello di metastore. Per l'elenco completo, vedere Privilegi di amministratore dell'area di lavoro quando le aree di lavoro sono abilitate automaticamente per Unity Catalog . |
| Gestire l'appartenenza all'area di lavoro | Aggiungere utenti, entità servizio e gruppi a un'area di lavoro |
| Assegnare il ruolo di amministratore dell'area di lavoro | Assegnare il ruolo di amministratore dell'area di lavoro a utenti, entità servizio o gruppi |
| Gestire la proprietà del processo | Controllare la proprietà del processo. Consultare Controllare l'accesso ai processi. |
| Gestire l'impostazione Esegui come processo | Configurare l'identità di esecuzione del processo. Vedere Configurare l'utente Runas per le esecuzioni del processo. |
| Visualizzare e gestire gli oggetti dell'area di lavoro | Accedere e controllare notebook, dashboard, query e altri oggetti dell'area di lavoro. Consultare Elenchi di controllo di accesso. |
Per altre informazioni, vedere Che cosa sono gli amministratori dell'area di lavoro?.
Gli amministratori dell'account possono limitare i privilegi di amministratore dell'area di lavoro usando l'impostazione RestrictWorkspaceAdmins . Vedere Limitare gli amministratori dell'area di lavoro.
privilegi di amministratore dell'area di lavoro quando le aree di lavoro sono abilitate automaticamente per Unity Catalog
Se l'area di lavoro è stata abilitata automaticamente per Il catalogo Unity (si applica a tutte le aree di lavoro create dopo il 9 novembre 2023), l'area di lavoro viene collegata a un metastore per impostazione predefinita. Per altre informazioni, vedere abilitazione automatica di Unity Catalog. Inoltre, gli amministratori dell'area di lavoro dispongono dei privilegi seguenti per il metastore collegato per impostazione predefinita:
CREATE CATALOG
CREATE CLEAN ROOM
CREATE EXTERNAL LOCATIONCREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALCREATE CONNECTIONCREATE SHARECREATE RECIPIENTCREATE PROVIDERCREATE MATERIALIZED VIEW
Note
Queste concessioni di privilegi sono visibili nella scheda Autorizzazioni del metastore nella console dell'account. Azure Databricks li rappresenta con un gruppo di sistema generato automaticamente denominato _workspace_admins_databricks_<account_id>_workspace_<workspace_id>.
Gli amministratori dell'area di lavoro sono i proprietari predefiniti del catalogo delle aree di lavoro, se è stato effettuato il provisioning di un catalogo di aree di lavoro per l'area di lavoro. La proprietà di questo catalogo concede i privilegi seguenti:
Gestire i privilegi per o trasferire la proprietà di qualsiasi oggetto all'interno del catalogo dell'area di lavoro.
Ciò include la possibilità di concedere a se stessi l'accesso in lettura e scrittura a tutti i dati nel catalogo (nessun accesso diretto per impostazione predefinita; la concessione delle autorizzazioni è registrata dal controllo).
Trasferire la proprietà del catalogo stesso dell'area di lavoro.
Tutti gli utenti dell'area di lavoro ricevono il privilegio USE CATALOG nel catalogo dell'area di lavoro. Gli utenti dell'area di lavoro ricevono anche i privilegi di USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTIONe CREATE MATERIALIZED VIEW nello schema default nel catalogo.
Note
I privilegi predefiniti concessi nel metastore collegato e nel catalogo delle aree di lavoro non vengono mantenuti tra le aree di lavoro( se, ad esempio, il catalogo dell'area di lavoro è associato a un'altra area di lavoro).
Amministratori metastore
L'amministratore del metastore è un utente o un gruppo con privilegi elevati facoltativi in Unity Catalog. Gli amministratori del metastore hanno privilegi di due origini: privilegi predefiniti concessi dal ruolo e privilegi di proprietà perché sono i proprietari del metastore.
Quando assegnare un amministratore del metastore
Per le aree di lavoro create dopo il 9 novembre 2023, il ruolo di amministratore del metastore è facoltativo. Ciò è dovuto al fatto che gli amministratori dell'area di lavoro ricevono privilegi a livello di metastore sufficienti per impostazione predefinita . Vedere Privilegi di amministratore dell'area di lavoro quando le aree di lavoro sono abilitate automaticamente per Unity Catalog. Tuttavia, è necessario assegnare un amministratore del metastore se è necessario eseguire le azioni seguenti:
- Modificare la proprietà degli oggetti o concedere privilegi agli oggetti di cui non si è proprietari. Ad esempio, questa operazione è necessaria quando si assume il controllo di un catalogo dopo la rimozione dell'account proprietario originale. Gli amministratori dell'area di lavoro possono creare oggetti, ma non possono concedere o modificare la proprietà degli oggetti esistenti di cui non sono proprietari.
- Rimuovere i permessi di amministratore predefiniti dell'area di lavoro .
- Aggiungere l'archiviazione gestita al metastore, se non è presente. Questo richiede che un amministratore dell'account aggiunga il percorso di archiviazione alla definizione del metastore. Vedere Aggiungere l'archiviazione gestita a un metastore esistente.
- Abilitare le destinazioni di richiesta di accesso predefinite per gli oggetti che non dispongono di destinazioni impostate in modo esplicito. Vedere Abilitare le destinazioni di posta elettronica predefinite.
Privilegi di amministratore metastore predefiniti
Per impostazione predefinita, gli amministratori del metastore hanno i privilegi seguenti per il metastore:
| Privilegio | Descrzione |
|---|---|
CREATE CATALOG |
Creare cataloghi nel metastore |
CREATE CLEAN ROOM |
Creare una stanza pulita per collaborare in modo sicuro ai progetti con altre organizzazioni senza condividere i dati sottostanti |
CREATE CONNECTION |
Creare una connessione a un database esterno in uno scenario di federazione lakehouse |
CREATE EXTERNAL LOCATION |
Creare percorsi esterni |
CREATE SERVICE CREDENTIAL |
Creare le credenziali del servizio |
CREATE STORAGE CREDENTIAL |
Creare credenziali di archiviazione |
CREATE FOREIGN CATALOG |
Creare cataloghi esterni usando una connessione a un database esterno in uno scenario di federazione lakehouse |
CREATE SHARE |
Creare una condivisione in Delta Sharing come provider di dati |
CREATE RECIPIENT |
Creare un destinatario in Delta Sharing come provider di dati |
CREATE PROVIDER |
Creare un provider in Delta Sharing come destinatario dei dati |
CREATE MATERIALIZED VIEW |
Creare viste materializzate |
MANAGE ALLOWLIST |
Aggiornare gli elenchi consentiti che gestiscono l'accesso del cluster a script e librerie init |
Privilegi di proprietà
Come proprietari del metastore, gli amministratori del metastore hanno i privilegi seguenti:
| Privilegio | Descrzione |
|---|---|
| Gestire i privilegi e trasferire la proprietà | Gestire i privilegi o trasferire la proprietà di qualsiasi oggetto all'interno del metastore, incluse le credenziali di archiviazione, le posizioni esterne, le connessioni, le condivisioni, i destinatari e i provider |
| Concedere l'accesso ai dati | Concedere a chiunque l'accesso in lettura e scrittura a tutti i dati nel metastore. Questa possibilità è indiretta perché gli amministratori del metastore possono trasferire la proprietà di qualsiasi oggetto a se stessi. Per impostazione predefinita, non è disponibile alcun accesso diretto. Le concessioni di autorizzazione vengono registrate dal controllo. |
| Gestire i metadati degli oggetti | Leggere e aggiornare i metadati di tutti gli oggetti nel metastore |
| Gestire i tag | Impostare tag su tutti gli oggetti nel metastore |
| Configurare le destinazioni delle richieste di accesso | Abilitare le destinazioni di richiesta di accesso predefinite nel metastore |
| Eliminare il metastore | Eliminare il metastore |
Chi inizialmente ha privilegi di amministratore del metastore?
Se un amministratore dell'account crea manualmente il metastore, tale amministratore dell'account è il proprietario iniziale e l'amministratore del metastore. Tutti i metastore creati prima del 9 novembre 2023 sono stati creati manualmente da un amministratore dell'account.
Se la fornitura del metastore è stata effettuata come parte dell'abilitazione automatica del catalogo Unity, il metastore è stato creato senza un amministratore del metastore. Agli amministratori dell'area di lavoro viene automaticamente concesso loro privilegi che rendono l'amministratore del metastore non necessario. Se necessario, gli amministratori dell'account possono assegnare il ruolo di amministratore del metastore a un utente, un'entità servizio o un gruppo. I gruppi sono la scelta più consigliata. Vedere abilitazione automatica di Unity Catalog.
Assegnare un amministratore del metastore
Quello di amministratore del metastore è un ruolo privilegiato che deve essere distribuito con cautela. Questo passaggio è facoltativo.
Gli amministratori dell'account possono assegnare il ruolo di amministratore del metastore. Databricks consiglia di nominare un gruppo come amministratore del metastore. In questo modo, qualsiasi membro del gruppo è automaticamente un amministratore del metastore.
Per assegnare il ruolo di amministratore del metastore a un gruppo:
- Come amministratore dell'account, accedere alla console dell'account.
- Fare clic
Catalogo. - Fare clic sul nome di un metastore per aprire le relative proprietà.
- In Amministratore Metastore, fare clic su Modifica.
- Selezionare un gruppo dall'elenco a discesa. È possibile immettere testo nel campo per cercare le opzioni.
- Fare clic su Salva.
Important
La modifica dell'assegnazione dell'amministratore del metastore può richiedere fino a 30 secondi, mentre potrebbe richiedere più tempo in alcune aree di lavoro rispetto ad altre. Questo ritardo è dovuto ai protocolli di memorizzazione nella cache.