Rendszergazdai védelem engedélyezése a "Nincs elkülönítés megosztott" fürtön a fiókjában

A fiókadminisztrátor megakadályozhatja, hogy a belső hitelesítő adatok automatikusan létrejönnek az Azure Databricks-munkaterület rendszergazdái számára a Nincs elkülönítés megosztott fürtön. A nincs elkülönítési megosztott fürt olyan fürtök, amelyek Hozzáférési mód legördülő menüje Nincs elkülönítés megosztva értékre van állítva.

Fontos

A fürtök felhasználói felülete nemrég megváltozott. A fürt nincs elkülönítési közös hozzáférési mód beállítása korábban Standard fürtmódként jelent meg. Ha a Magas párhuzamosságú fürt üzemmódot további biztonsági beállítások, például táblahozzáférés-vezérlés (tábla ACL-ek) vagy hitelesítő adatok átengedése nélkül használta, a rendszer ugyanazokat a beállításokat használja, mint a Standard fürtmódban. A jelen cikkben ismertetett fiókszintű rendszergazdai beállítás a Nincs elkülönítés megosztott hozzáférési módra és annak megfelelő örökölt fürtmódjaira is vonatkozik. A régi felhasználói felületi és az új felhasználói felületi fürttípusok összehasonlításáért lásd: Fürtök felhasználói felületének változásai és fürthozzáférés módjai.

A fiókon lévő Nincs elkülönítés nélküli megosztott fürt rendszergazdai védelme segít megvédeni a rendszergazdai fiókokat a más felhasználókkal megosztott környezetben lévő belső hitelesítő adatok megosztásától. A beállítás engedélyezése hatással lehet a rendszergazdák által futtatott számítási feladatokra. Lásd: Korlátozások.

A megosztott elkülönítési fürtök nem futtatnak tetszőleges kódot több felhasználótól ugyanabban a megosztott környezetben, hasonlóan ahhoz, ami egy több felhasználó között megosztott felhőalapú virtuális gépen történik. Az adott környezetben kiosztott adatok vagy belső hitelesítő adatok bármely, a környezetben futó kód számára elérhetők lehetnek. Az Azure Databricks API-k normál műveletekhez való meghívásához a hozzáférési jogkivonatok a felhasználók nevében vannak kiépítve ezekhez a fürtökhöz. Ha egy magasabb jogosultságú felhasználó, például egy munkaterület rendszergazdája parancsokat futtat egy fürtön, a magasabb jogosultságú jogkivonataik ugyanabban a környezetben láthatók.

Meghatározhatja, hogy a munkaterületen mely fürtök rendelkeznek a beállítás által érintett fürttípusokkal. Lásd: Az összes elkülönítés nélküli megosztott fürt megkeresése (beleértve az ezzel egyenértékű örökölt fürtmódokat) című témakört.

A fiókszintű beállítás mellett van egy munkaterület-szintű beállítás is, amelynek neve Felhasználóelkülönítés kényszerítése. A fiókadminisztrátorokkal megakadályozhatja az "Elkülönítés nélküli megosztott" fürthozzáférés-típus vagy az azzal egyenértékű örökölt fürttípusok létrehozását vagy elindítását.

A fiókszintű rendszergazdai védelem engedélyezése

1. Fiókadminisztrátorként jelentkezzen be a Fiókkonzolba.

   Fontos

   Ha az Azure Active Directory-bérlő egyik felhasználója sem jelentkezett be még a fiókkonzolra, Akkor Önnek vagy a bérlő egy másik felhasználójának kell bejelentkeznie első fiókadminisztrátorként. Ehhez Azure Active Directory globális rendszergazdának kell lennie, de csak akkor, ha először jelentkezik be az Azure Databricks-fiókkonzolra. Az első bejelentkezéskor Azure Databricks-fiókadminisztrátor lesz, és már nincs szüksége az Azure Active Directory globális rendszergazdai szerepkörére az Azure Databricks-fiók eléréséhez. Első fiókadminisztrátorként további fiókadminisztrátorként is hozzárendelhet felhasználókat az Azure Active Directory-bérlőben (akik maguk is hozzárendelhetnek további fiókadminisztrátorokat). A további fiókadminisztrátoroknak nincs szükségük meghatározott szerepkörökre az Azure Active Directoryban. Lásd: Felhasználók, szolgáltatásnevek és csoportok kezelése.

2. Kattintson a Beállítások.

3. Kattintson a Funkció engedélyezése fülre.

4. A Rendszergazda-védelem engedélyezése "Nincs elkülönítési megosztott" fürtön kattintson a beállításra a funkció engedélyezéséhez vagy letiltásához.

   • Ha a funkció engedélyezve van, az Azure Databricks megakadályozza a Databricks API belső hitelesítő adatainak automatikus létrehozását a Databricks-munkaterület rendszergazdái számára a Nincs elkülönítés megosztott fürtön.
   • A módosítások érvénybe lépése akár két percet is igénybe vehet az összes munkaterületen.

Korlátozások

Ha nem használ elkülönítés nélküli megosztott fürtöket vagy az azzal egyenértékű örökölt fürtmódokat, a következő Azure Databricks-funkciók nem működnek, ha engedélyezi a rendszergazdai védelmet a nem elkülönített megosztott fürtök számára a fiókjában:

• Machine Learning Runtime számítási feladatok.
• Fájlok az adattárakban.
• dbutils Secrets segédprogram.
• dbutils Notebook segédprogram.
• Delta Lake-műveletek olyan rendszergazdáktól, amelyek adatokat hoznak létre, módosítanak vagy frissítenek.

Előfordulhat, hogy más szolgáltatások nem működnek a fürttípus rendszergazdai felhasználói számára, mert ezek a szolgáltatások az automatikusan létrehozott belső hitelesítő adatokra támaszkodnak.

Ezekben az esetekben az Azure Databricks azt javasolja a rendszergazdáknak, hogy tegyenek az alábbiak egyikét:

• Használjon más fürttípust, mint a "Nincs elkülönítés megosztott" fürthozzáférés-típust vagy az azzal egyenértékű régi fürttípusokat.
• Hozzon létre egy nem rendszergazdai felhasználót, ha nem használ elkülönítési megosztott fürtöket.

Ha kérdése van ezzel a beállítással kapcsolatban, forduljon a Databricks-képviselőjéhez.

Keresse meg az összes elkülönítés nélküli megosztott fürtöt (beleértve az ezzel egyenértékű örökölt fürtmódokat is)

Meghatározhatja, hogy a munkaterületen mely fürtökre van hatással ez a fiókszintű beállítás.

Importálja az alábbi jegyzetfüzetet az összes munkaterületre, és futtassa a jegyzetfüzetet.

Az összes nincs elkülönítési megosztott fürt listájának lekérése

Jegyzetfüzet beszerzése