Abilitare la protezione dell'amministratore per i cluster "Nessun isolamento condiviso" nell'account
Gli amministratori degli account possono impedire la generazione automatica delle credenziali interne per gli amministratori dell'area di lavoro di Azure Databricks in cluster condivisi senza isolamento. Nessun cluster condivisi di isolamento sono cluster con l'elenco a discesa Modalità di accesso impostato su Nessun isolamento condiviso.
Importante
L'interfaccia utente dei cluster è stata modificata di recente. L'impostazione Nessun isolamento modalità di accesso condiviso per un cluster è apparsa in precedenza come modalità cluster Standard. Se è stata usata la modalità cluster a concorrenza elevata senza impostazioni di sicurezza aggiuntive, ad esempio il controllo di accesso alle tabelle (ACL tabella) o il pass-through delle credenziali, le stesse impostazioni vengono usate con la modalità cluster Standard. L'impostazione amministratore a livello di account descritta in questo articolo si applica sia alla modalità di accesso condiviso Nessun isolamento che alle modalità cluster legacy equivalenti. Per un confronto tra l'interfaccia utente precedente e i nuovi tipi di cluster dell'interfaccia utente, vedere Modifiche dell'interfaccia utente dei cluster e modalità di accesso al cluster.
La protezione dell'amministratore per i cluster condivisi senza isolamento nell'account consente di proteggere gli account amministratore dalla condivisione di credenziali interne in un ambiente condiviso con altri utenti. L'abilitazione di questa impostazione può influire sui carichi di lavoro eseguiti dagli amministratori. Vedere Limitazioni.
Nessun cluster condivisi di isolamento esegue codice arbitrario da più utenti nello stesso ambiente condiviso, simile a quello che accade in una macchina virtuale cloud condivisa tra più utenti. I dati o le credenziali interne di cui è stato effettuato il provisioning in tale ambiente potrebbero essere accessibili a qualsiasi codice in esecuzione all'interno di tale ambiente. Per chiamare le API di Azure Databricks per le normali operazioni, viene effettuato il provisioning dei token di accesso per conto degli utenti a questi cluster. Quando un utente con privilegi più elevati, ad esempio un amministratore dell'area di lavoro, esegue comandi in un cluster, il token con privilegi più elevati è visibile nello stesso ambiente.
È possibile determinare quali cluster in un'area di lavoro hanno tipi di cluster interessati da questa impostazione. Vedere Trovare tutti i cluster condivisi senza isolamento (incluse le modalità cluster legacy equivalenti).
Oltre a questa impostazione a livello di account, è disponibile un'impostazione a livello di area di lavoro denominata Imponi isolamento utente. Gli amministratori dell'account possono abilitarlo per impedire la creazione o l'avvio di un tipo di accesso cluster "Nessun isolamento condiviso" o i relativi tipi di cluster legacy equivalenti.
Abilitare l'impostazione di protezione amministratore a livello di account
Come amministratore dell'account , accedere alla console account.
Importante
Se nessun utente nel tenant di Microsoft Entra ID (in precedenza Azure Active Directory) ha ancora eseguito l'accesso alla console dell'account, l'utente o un altro utente nel tenant deve accedere come primo amministratore dell'account. A tale scopo, è necessario essere un Microsoft Entra ID Global Amministrazione istrator, ma solo quando si accede per la prima volta alla console dell'account di Azure Databricks. Al primo accesso, si diventa un amministratore dell'account Azure Databricks e non è più necessario il ruolo Microsoft Entra ID Global Amministrazione istrator per accedere all'account Azure Databricks. Come primo amministratore dell'account, è possibile assegnare gli utenti nel tenant di Microsoft Entra ID come amministratori di account aggiuntivi (che possono assegnare più amministratori account). Gli amministratori aggiuntivi dell'account non richiedono ruoli specifici in Microsoft Entra ID. Vedere Gestire utenti, entità servizio e gruppi.
Fare clic su Impostazioni
.Fare clic sulla scheda Abilitazione funzionalità .
In Abilita protezione Amministrazione per i cluster "Nessun isolamento condiviso" fare clic sull'impostazione per abilitare o disabilitare questa funzionalità.
- Se la funzionalità è abilitata, Azure Databricks impedisce la generazione automatica delle credenziali interne dell'API Databricks per gli amministratori dell'area di lavoro di Databricks in cluster senza isolamento condiviso.
- Le modifiche possono richiedere fino a due minuti per rendere effettive tutte le aree di lavoro.
Limiti
Se usato con cluster condivisi senza isolamento o con le modalità cluster legacy equivalenti, le funzionalità di Azure Databricks seguenti non funzionano se si abilita la protezione dell'amministratore per i cluster condivisi senza isolamento nell'account:
- Carichi di lavoro del runtime di Machine Learning.
- File dell'area di lavoro.
- Utilità dbutils Secrets.
- Utilità notebook dbutils.
- Operazioni Delta Lake da parte di amministratori che creano, modificano o aggiornano i dati.
Altre funzionalità potrebbero non funzionare per gli utenti amministratori in questo tipo di cluster perché queste funzionalità si basano su credenziali interne generate automaticamente.
In questi casi, Azure Databricks consiglia agli amministratori di eseguire una delle operazioni seguenti:
- Usare un tipo di cluster diverso da "Nessun isolamento condiviso" o dai relativi tipi di cluster legacy equivalenti.
- Creare un utente non amministratore quando si usano cluster condivisi senza isolamento.
Trovare tutti i cluster condivisi senza isolamento (incluse le modalità cluster legacy equivalenti)
È possibile determinare quali cluster in un'area di lavoro sono interessati da questa impostazione a livello di account.
Importare il notebook seguente in tutte le aree di lavoro ed eseguire il notebook.