Activer la protection administrateur pour les clusters « Aucune isolation partagée » sur votre compte
Les administrateurs de compte peuvent empêcher la génération automatique des informations d’identification internes pour les administrateurs de l’espace de travail Azure Databricks sur ces clusters « Aucune isolation partagée ». Les clusters partagés « Aucune isolation partagée » sont des clusters avec la liste déroulante Mode d’accès définie sur Aucune isolation partagée.
Important
L’interface utilisateur des clusters a récemment changé. Le paramètre de mode d’accès « Aucune isolation partagée » pour un cluster apparaissait précédemment en tant que mode de cluster Standard. Si vous utilisez le mode cluster haute concurrence sans paramètres de sécurité supplémentaires tels que les listes de contrôle d’accès de table (ACL Table) ou la passe d’informations d’identification, les mêmes paramètres sont utilisés que pour le mode cluster standard. Le paramètre administrateur au niveau du compte que cet article décrit s’applique à la fois au mode d’accès « Aucune isolation partagée » et ses modes de cluster hérités équivalents. Pour une comparaison des anciens et des nouveaux types de clusters d'interface utilisateur, consultez Modifications apportées à l’interface utilisateur des clusters et les modes d’accès au cluster.
La protection administrateur pour les clusters « Aucune isolation partagée » sur votre compte permet de protéger les comptes administrateur contre le partage d’informations d’identification internes dans un environnement partagé avec d’autres utilisateurs. L’activation de ce paramètre peut avoir un impact sur les charges de travail exécutées par les administrateurs. Voir Limitations.
Les clusters « Aucune isolation partagée » exécutent du code arbitraire de plusieurs utilisateurs dans le même environnement partagé, comme ce qui se passe sur une machine virtuelle cloud partagée entre plusieurs utilisateurs. Les données ou les informations d’identification internes approvisionnées dans cet environnement peuvent être accessibles à tout code exécuté dans cet environnement. Pour appeler les API Azure Databricks pour les opérations normales, les jetons d’accès sont approvisionnés pour le compte des utilisateurs sur ces clusters. Lorsqu’un utilisateur privilégié plus élevé, tel qu’un administrateur d’espace de travail, exécute des commandes sur un cluster, son jeton privilégié supérieur est visible dans le même environnement.
Vous pouvez déterminer quels clusters d’un espace de travail ont des types de cluster affectés par ce paramètre. Consultez Rechercher tous vos clusters « Aucune isolation partagée » (y compris les modes de cluster hérités équivalents).
En plus de ce paramètre au niveau du compte, il existe un paramètre au niveau de l’espace de travail appelé Appliquer l’isolation des utilisateurs. Les administrateurs de compte peuvent l’activer pour empêcher la création ou le démarrage d’un cluster de type d’accès « Aucune isolation partagée » ou un type de cluster hérité équivalent.
Activer le paramètre de protection administrateur au niveau du compte
En tant qu’administrateur de compte, connectez-vous à la console de compte.
Important
Si aucun utilisateur de votre locataire Microsoft Entra ID (anciennement Azure Active Directory) n’est encore connecté à la console de compte, vous ou un autre utilisateur de votre locataire devez vous connecter comme premier administrateur de compte. Pour ce faire, vous devez être Administrateur général Microsoft Entra ID, mais uniquement quand vous vous connectez pour la première fois à la console de compte Azure Databricks. Dès la première connexion, vous devenez administrateur de compte Azure Databricks et n’avez plus besoin du rôle Administrateur général Microsoft Entra ID pour accéder au compte Azure Databricks. En tant que premier administrateur de compte, vous pouvez attribuer des utilisateurs dans le locataire Microsoft Entra ID comme administrateurs de compte supplémentaires (qui peuvent eux-mêmes attribuer davantage d’administrateurs de compte). Les administrateurs de compte supplémentaires ne nécessitent pas de rôles spécifiques dans Microsoft Entra ID. Consultez Gérer les utilisateurs, les principaux de service et les groupes.
Cliquez sur Paramètres
.Cliquez sur l’onglet Activation des fonctionnalités.
Sous Activer la protection administrateur pour les clusters « Aucune isolation partagée », cliquez sur le paramètre pour activer ou désactiver cette fonctionnalité.
- Si la fonctionnalité est activée, Azure Databricks empêche la génération automatique d’informations d’identification internes de l’API Databricks pour les administrateurs d’espace de travail Databricks sur des clusters « Aucune isolation partagée ».
- Les modifications peuvent prendre jusqu’à deux minutes pour prendre effet sur tous les espaces de travail.
Limites
Lorsqu’elles sont utilisées avec des clusters « Aucune isolation partagée » ou les modes de cluster hérités équivalents, les fonctionnalités Azure Databricks suivantes ne fonctionnent pas si vous activez la protection d’administration pour les clusters « Aucune isolation partagée » sur votre compte :
- Charges de travail du Runtime Machine Learning.
- Fichiers d’espace de travail.
- Utilitaire de secrets (dbutils).
- Utilitaire de notebook (dbutils).
- Opérations Delta Lake par les administrateurs qui créent, modifient ou mettent à jour des données.
D’autres fonctionnalités peuvent ne pas fonctionner pour les utilisateurs administrateurs sur ce type de cluster, car ces fonctionnalités s’appuient sur des informations d’identification internes générées automatiquement.
Dans ces cas, Azure Databricks recommande que les administrateurs effectuent l’une des opérations suivantes :
- Utilisez un autre type de cluster que « Aucune isolation partagée » ou ses types de cluster hérités équivalents.
- Créez un utilisateur non administrateur lors de l’utilisation de clusters « Aucune isolation partagée ».
Rechercher tous vos clusters « Aucune isolation partagée » (y compris les modes de cluster hérités équivalents)
Vous pouvez déterminer quels clusters dans un espace de travail sont affectés par ce paramètre au niveau du compte.
Importez le notebook suivant dans tous vos espaces de travail et exécutez-le.