Habilitación de la protección del administrador para clústeres compartidos sin aislamiento en la cuenta

  • Artículo

Los administradores de cuentas pueden impedir que se generen automáticamente credenciales internas para los administradores del área de trabajo de Azure Databricks en clústeres compartidos sin aislamiento. Los clústeres compartidos sin aislamiento son aquellos que tienen la opción desplegable Modo de acceso establecida en No isolation shared (Compartido sin aislamiento).

Importante

La interfaz de usuario de los clústeres ha cambiado recientemente. La configuración del modo de acceso compartido sin aislamiento para un clúster apareció ya se había introducido como modo de clúster estándar. Si usaba el modo de clúster de alta simultaneidad sin opciones de seguridad adicionales, como el control de acceso a tablas (ACL de tabla) o el acceso directo a credenciales, se usaban las mismas opciones que en el modo de clúster estándar. La configuración de administrador de nivel de cuenta que se describe en este artículo se aplica tanto al modo de acceso compartido sin aislamiento como a sus modos de clúster heredado equivalentes. Para ver una comparación entre la interfaz de usuario antigua y la nueva de los tipos de clúster, consulte Cambios en la interfaz de usuario de los clústeres y modos de acceso del clúster.

La protección de administrador para los clústeres compartidos sin aislamiento en su cuenta ayuda a impedir que las cuentas de administrador compartan las credenciales internas en un entorno que se comparte con otros usuarios. La habilitación de esta configuración podría afectar a las cargas de trabajo que ejecutan los administradores. Consulte Limitaciones.

Los clústeres compartidos sin aislamiento ejecutan código arbitrario de varios usuarios en el mismo entorno compartido, de forma similar a lo que sucede en una máquina virtual en la nube que se comparte entre varios usuarios. Los datos o las credenciales internas que se aprovisionan en ese entorno podrían ser accesibles para cualquier código que se ejecute dentro de ese entorno. Para llamar a las API de Azure Databricks para realizar operaciones normales, se aprovisionan tokens de acceso en nombre de los usuarios en estos clústeres. Cuando un usuario con privilegios más elevados, como un administrador del área de trabajo, ejecuta comandos en un clúster, su token con privilegios más elevados es visible en el mismo entorno.

Puede determinar qué clústeres de un área de trabajo tienen tipos de clúster a los que afecta esta configuración. Consulte Detección de todos los clústeres compartidos sin aislamiento (incluidos los modos de clúster heredado equivalentes).

Además de esta configuración de nivel de cuenta, hay una configuración de nivel de área de trabajo denominada Aplicar aislamiento de usuario. Los administradores de cuentas pueden habilitarla para evitar que se cree o se inicie un tipo de acceso de clúster "Sin aislamiento compartido" o sus tipos de clústeres heredados equivalentes.

Habilitación de la configuración de protección de administrador de nivel de cuenta

  1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.

    Importante

    Si ningún usuario del inquilino de Microsoft Entra ID (anteriormente Azure Active Directory) ha iniciado sesión aún en la consola de la cuenta, usted, o cualquier otro usuario del inquilino, deben iniciar sesión como primer administrador de la cuenta. Para ello, debe ser administrador global de Microsoft Entra ID, pero solo la primera vez que inicie sesión en la consola de cuenta de Azure Databricks. Tras el primer inicio de sesión, se convertirá en administrador de cuentas de Azure Databricks, por lo que dejará de necesitar el rol de administrador global de Microsoft Entra ID para acceder a la cuenta de Azure Databricks. Como primer administrador de la cuenta, puede asignar usuarios del inquilino de Microsoft Entra ID como administradores de cuenta adicionales (que a su vez pueden asignar más administradores de cuentas). Los administradores de cuentas adicionales no requieren roles específicos en Microsoft Entra ID. Consulte Administración de usuarios, entidades de servicio y grupos.

  2. Haga clic en ConfiguraciónSettings icon.

  3. Haga clic en la pestaña Habilitación de funcionalidades.

  4. En Enable Admin Protection for “No Isolation Shared” Clusters (Habilitar la protección de administrador para clústeres compartidos sin aislamiento), haga clic en la configuración para habilitar o deshabilitar esta característica.

    • Si la característica está habilitada, Azure Databricks impide la generación automática de credenciales internas de API de Databricks para los administradores del área de trabajo de Databricks en clústeres compartidos sin aislamiento.
    • Los cambios pueden tardar hasta dos minutos en surtir efecto en todas las áreas de trabajo.

Limitaciones

Cuando se usa con clústeres compartidos sin aislamiento o con los modos de clúster heredado equivalentes, las siguientes características de Azure Databricks no funcionan si habilita la protección de administrador para clústeres compartidos sin aislamiento en su cuenta:

Es posible que otras características no funcionen para los usuarios administradores en este tipo de clúster porque estas características dependen de credenciales internas generadas automáticamente.

En esos casos, Azure Databricks recomienda que los administradores realicen una de las acciones siguientes:

  • Utilice un tipo de clúster distinto de "Sin aislamiento compartido" o sus tipos de clúster heredados equivalentes.
  • Crear un usuario que no sea administrador al usar clústeres compartidos sin aislamiento.

Detección de todos los clústeres compartidos sin aislamiento (incluidos los modos de clúster heredado equivalentes)

Puede determinar qué clústeres de un área de trabajo se ven afectados por esta configuración de nivel de cuenta.

Importe el cuaderno siguiente en todas las áreas de trabajo y ejecútelo.

Obtención de una lista de todos los cuadernos sin clústeres compartidos de aislamiento

Obtener el cuaderno