Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure Databricks tem funções de administrador many. Do ponto de vista das permissões do Catálogo do Unity, os três mais importantes são administradores de conta, administradores de workspace e administradores de metastore. Administradores de conta e administradores de workspace são necessários para todas as implantações e a função de administrador do metastore é opcional. Entender as responsabilidades de cada função ajuda você a atribuir administradores com o escopo certo.
- Conta os administradores operam no nível da conta Azure Databricks. Eles criam e vinculam metastores e workspaces e podem atribuir funções de administrador.
- Os administradores do workspace operam em um único workspace. Eles gerenciam a associação de workspace, trabalhos e objetos de workspace.
- Os administradores do Metastore (opcional) operam em um único metastore do Catálogo do Unity. Eles regem o acesso a dados, a propriedade e os objetos protegíveis do Catálogo do Unity de nível superior.
Funções de administrador em um relance
| Função Admin | Scope | Necessário? | Finalidade principal |
|---|---|---|---|
| Administrador de contas | Conta inteira do Azure Databricks | Yes | Criar metastores e workspaces, vincular metastores a workspaces, atribuir funções de administrador |
| Administrador do espaço de trabalho | Workspace único | Yes | Gerenciar a associação ao workspace, a propriedade do trabalho e os objetos do workspace; criar catálogos e outros protegíveis de nível superior do Catálogo do Unity |
| Administrador de metastore | Metastore de Catálogo único do Unity (um por região de nuvem) | Não (opcional) | Criar e controlar protegíveis de nível superior do Catálogo do Unity: catálogos, conexões, locais externos e outros objetos metastore |
Note
Administradores de conta e administradores de metastore são funções separadas. Quando um administrador de conta cria um metastore, ele se torna o administrador inicial do metastore por padrão. Em seguida, eles podem atribuir a função de administrador metastore a um usuário, grupo ou entidade de serviço diferente e abandoná-la por conta própria.
Administradores de conta
O administrador da conta é uma função altamente privilegiada que você deve distribuir com cuidado. Os administradores de conta têm privilégios em toda a conta do Azure Databricks, que inclui os seguintes recursos principais:
| Capability | DESCRIÇÃO |
|---|---|
| Criar metastores | Crie metastores e torne-se o administrador inicial do metastore por padrão |
| Criar espaços de trabalho | Criar e gerenciar workspaces na conta |
| Vincular metastores a workspaces | Associar metastores a workspaces específicos |
| Atribuir a função de administrador da conta | Delegar a função de administrador da conta a qualquer usuário |
| Atribuir a função de administrador do workspace | Conceder a função de administrador do workspace a qualquer usuário em qualquer workspace na conta |
| Atribuir a função de administrador metastore (opcional) | Atribuir a função de administrador metastore (opcional) a usuários, entidades de serviço ou grupos |
| Conceder privilégios em metastores | Gerenciar permissões no nível do metastore |
| Habilitar o Compartilhamento Delta para um metastore | Habilitar a funcionalidade de compartilhamento Delta para um metastore |
| Configurar credenciais de armazenamento | Configurar credenciais de armazenamento para acessar o armazenamento em nuvem |
| Habilitar tabelas do sistema | Habilitar tabelas do sistema e controlar quem pode acessá-las |
Para obter mais informações, consulte o que são administradores de conta?.
Para estabelecer seu primeiro administrador de conta do Azure Databricks, confira Estabelecer seu primeiro administrador de conta.
Administradores do workspace
O administrador do espaço de trabalho é uma função altamente privilegiada que você deve distribuir com cuidado. Os administradores do workspace têm privilégios de administrador em um único workspace, que inclui os seguintes recursos principais:
| Capability | DESCRIÇÃO |
|---|---|
| Criar catálogos e outros protegíveis de nível superior do Catálogo do Unity (aplica-se a workspaces criados após 9 de novembro de 2023) | Crie catálogos, locais externos, conexões e outros objetos no nível do metastore. Consulte os privilégios de administrador do Workspace quando os workspaces estiverem habilitados para o Catálogo do Unity automaticamente para obter a lista completa. |
| Gerenciar associação ao workspace | Adicionar usuários, entidades de serviço e grupos a um workspace |
| Atribuir a função de administrador do workspace | Atribuir a função de administrador do workspace a usuários, entidades de serviço ou grupos |
| Gerenciar a propriedade do trabalho | Controlar a propriedade do trabalho. Confira Controlar o acesso a um trabalho. |
| Gerenciar a configuração Executar como trabalho | Configurar a identidade de execução do trabalho. Consulte Configurar a opção Executar como usuário para tarefas. |
| Exibir e gerenciar objetos de workspace | Acessar e controlar notebooks, dashboards, consultas e outros objetos de workspace. Confira Listas de Controle de Acesso. |
Para obter mais informações, consulte o que são administradores de workspace?.
Os administradores de conta podem restringir privilégios de administrador do workspace usando a RestrictWorkspaceAdmins configuração. Confira Restringir administradores do workspace.
Privilégios de administrador do espaço de trabalho quando os espaços de trabalho são habilitados automaticamente para o Catálogo do Unity
Se o workspace tiver sido habilitado automaticamente para o Catálogo do Unity (aplica-se a todos os workspaces criados após 9 de novembro de 2023), o workspace será anexado a um metastore por padrão. Para obter mais informações, confira Habilitação automática do Catálogo do Unity. Além disso, os administradores do workspace têm os seguintes privilégios no metastore anexado por padrão:
CREATE CATALOG
CREATE CLEAN ROOM
CREATE EXTERNAL LOCATIONCREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALCREATE CONNECTIONCREATE SHARECREATE RECIPIENTCREATE PROVIDERCREATE MATERIALIZED VIEW
Note
Essas concessões de privilégio são visíveis na guia Permissões do metastore no console da conta. O Azure Databricks os representa com um grupo de sistemas gerado automaticamente chamado _workspace_admins_databricks_<account_id>_workspace_<workspace_id>.
Os administradores do espaço de trabalho são os proprietários padrão do catálogo do espaço de trabalho, se um catálogo do espaço de trabalho tiver sido provisionado para o seu espaço de trabalho. A propriedade desse catálogo concede os seguintes privilégios:
Gerencie os privilégios ou transfira a propriedade de qualquer objeto no catálogo do espaço de trabalho.
Isso inclui a capacidade de conceder a si mesmos acesso de leitura e gravação a todos os dados do catálogo (sem acesso direto por padrão; a concessão de permissões está registrada no log de auditoria).
Transferir a propriedade do próprio catálogo do espaço de trabalho.
Todos os usuários do espaço de trabalho recebem o privilégio USE CATALOG no catálogo do espaço de trabalho. Os usuários do workspace também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION e CREATE MATERIALIZED VIEW no esquema default do catálogo.
Note
Os privilégios padrão concedidos no catálogo do espaço de trabalho e no metastore anexado não serão mantidos entre os espaços de trabalho (se, por exemplo, o catálogo do espaço de trabalho também estiver associado a outro espaço de trabalho).
Administradores do Metastore
O administrador do metastore é um usuário ou grupo opcional, mas altamente privilegiado no Catálogo do Unity. Os administradores do Metastore têm privilégios de duas fontes: privilégios padrão concedidos pela função e privilégios de propriedade porque são os proprietários do metastore.
Quando atribuir um administrador de metastore
Para workspaces criados após 9 de novembro de 2023, a função de administrador metastore é opcional. Isso ocorre porque os administradores do workspace recebem privilégios suficientes no nível do metastore por padrão (consulte privilégios de administrador do workspace quando os workspaces são habilitados automaticamente para o Catálogo do Unity). No entanto, você deve atribuir um administrador metastore se precisar executar as seguintes ações:
- Altere a propriedade de objetos ou conceda privilégios em objetos que você não possui. Por exemplo, isso é necessário ao assumir um catálogo depois que a conta de propriedade original é removida. Os administradores do workspace podem criar objetos, mas não podem fazer concessões ou alterar a propriedade de objetos existentes que não possuem.
- Remover permissões de administrador de workspace padrão.
- Adicione o armazenamento gerenciado ao metastore, se ele não tiver nenhum. Isso requer que um administrador de conta adicione o local de armazenamento à definição de metastore. Confira Adicionar armazenamento gerenciado a um metastore existente.
- Habilite destinos de solicitação de acesso padrão para objetos que não têm destinos definidos explicitamente. Consulte Habilitar destinos de email padrão.
Privilégios de administrador metastore padrão
Por padrão, os administradores do metastore têm os seguintes privilégios no metastore:
| Privilégio | DESCRIÇÃO |
|---|---|
CREATE CATALOG |
Criar catálogos no metastore |
CREATE CLEAN ROOM |
Criar uma sala limpa para colaborar com segurança em projetos com outras organizações sem compartilhar dados subjacentes |
CREATE CONNECTION |
Criar uma conexão com um banco de dados externo em um cenário de Federação do Lakehouse |
CREATE EXTERNAL LOCATION |
Criar locais externos |
CREATE SERVICE CREDENTIAL |
Criar credenciais de serviço |
CREATE STORAGE CREDENTIAL |
Criar credenciais de armazenamento |
CREATE FOREIGN CATALOG |
Criar catálogos estrangeiros usando uma conexão com um banco de dados externo em um cenário de Federação lakehouse |
CREATE SHARE |
Criar um compartilhamento no Delta Sharing como um provedor de dados |
CREATE RECIPIENT |
Criar um destinatário no Compartilhamento Delta como um provedor de dados |
CREATE PROVIDER |
Criar um provedor no Compartilhamento Delta como um destinatário de dados |
CREATE MATERIALIZED VIEW |
Criar exibições materializadas |
MANAGE ALLOWLIST |
Atualizar listas de permissões que gerenciam o acesso de cluster a scripts e bibliotecas de inicialização |
Privilégios de propriedade
Como proprietários do metastore, os administradores do metastore têm os seguintes privilégios:
| Privilégio | DESCRIÇÃO |
|---|---|
| Gerenciar privilégios e transferir propriedade | Gerenciar privilégios ou transferir a propriedade de qualquer objeto dentro do metastore, incluindo credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários e provedores |
| Conceder acesso aos dados | Conceda a qualquer pessoa acesso de leitura e gravação a qualquer dado no metastore. Essa capacidade é indireta porque os administradores do metastore podem transferir a propriedade de qualquer objeto para si mesmos. Por padrão, não existe acesso direto. As concessões de permissão são registradas em log de auditoria. |
| Gerenciar metadados de objeto | Ler e atualizar os metadados de todos os objetos no metastore |
| Gerenciar marcas | Definir marcas em todos os objetos no metastore |
| Configurar destinos de solicitação de acesso | Habilitar destinos de solicitação de acesso padrão no metastore |
| Excluir metastore | Excluir o metastore |
Quem tem privilégios de administrador no metastore inicial?
Se um administrador de conta criar o metastore manualmente, esse administrador da conta será o proprietário inicial do metastore e o administrador do metastore. Todos os metastores criados antes de 9 de novembro de 2023 foram criados manualmente por um administrador de conta.
Se o metastore foi provisionado como parte da habilitação automática do Catálogo do Unity, o metastore foi criado sem um administrador de metastore. Os administradores do espaço de trabalho, nesse caso, recebem automaticamente privilégios que tornam o administrador do metastore opcional. Se necessário, os administradores de conta podem atribuir a função de administrador do metastore a um usuário, entidade de serviço ou grupo. Grupos são altamente recomendados. Confira Habilitação automática do Catálogo do Unity.
Atribuir um administrador de metastore
A função com privilégios de administrador do Metastore é altamente privilegiada e deve ser distribuída com cuidado. É opcional.
Os administradores de conta podem atribuir a função de administrador do metastore. A Databricks recomenda nomear um grupo como administrador do metastore. Ao fazer isso, qualquer membro do grupo será automaticamente um administrador do metastore.
Para atribuir a função de administrador do metastore a um grupo:
- Como administrador de conta, faça logon no console da conta.
- Clique no
Catálogo. - Clique no nome de um metastore para abrir as propriedades dele.
- Em Administrador de Metastore, clique em Editar.
- Selecione um grupo na lista suspensa. Você pode inserir texto no campo para pesquisar opções.
- Clique em Salvar.
Important
Pode levar até 30 segundos para que uma alteração de atribuição de administrador do metastore seja refletida em sua conta e pode levar mais tempo para que ela entre em vigor em alguns workspaces do que em outros. Esse atraso ocorre devido a protocolos de cache.