Włączanie ochrony administratora dla klastrów "Brak udostępnionej izolacji" na twoim koncie
Administratorzy kont mogą uniemożliwić automatyczne generowanie poświadczeń wewnętrznych dla administratorów obszaru roboczego usługi Azure Databricks w klastrach udostępnionych bez izolacji. Klastry udostępnione izolacji nie są klastrami, które mają listę rozwijaną Tryb dostępu ustawioną na Wartość Brak udostępnionej izolacji.
Ważne
Interfejs użytkownika klastrów został niedawno zmieniony. Ustawienie Tryb dostępu współużytkowanego bez izolacji dla klastra wcześniej było wyświetlane jako tryb klastra w warstwie Standardowa. Jeśli używasz trybu klastra o wysokiej współbieżności bez dodatkowych ustawień zabezpieczeń, takich jak kontrola dostępu do tabel (listy ACL tabel) lub przekazywanie poświadczeń, te same ustawienia są używane w trybie klastra w warstwie Standardowa. Ustawienie administratora na poziomie konta, które omówiono w tym artykule, dotyczy zarówno trybu dostępu współużytkowanego bez izolacji, jak i jego odpowiedników starszych trybów klastra. Aby zapoznać się z porównaniem starych typów interfejsu użytkownika i nowych typów klastrów interfejsu użytkownika, zobacz Zmiany interfejsu użytkownika klastrów i tryby dostępu do klastra.
Ochrona administratora dla klastrów udostępnionych bez izolacji na twoim koncie pomaga chronić konta administratora przed udostępnianiem poświadczeń wewnętrznych w środowisku udostępnionym innym użytkownikom. Włączenie tego ustawienia może mieć wpływ na obciążenia uruchamiane przez administratorów. Zobacz Ograniczenia.
Klastry udostępnione izolacji nie uruchamiają dowolnego kodu od wielu użytkowników w tym samym środowisku udostępnionym, podobnie jak w przypadku maszyny wirtualnej w chmurze współużytkowanej przez wielu użytkowników. Dane lub poświadczenia wewnętrzne aprowidowane w tym środowisku mogą być dostępne dla dowolnego kodu uruchomionego w tym środowisku. Aby wywołać interfejsy API usługi Azure Databricks na potrzeby normalnych operacji, tokeny dostępu są aprowidowane w imieniu użytkowników w tych klastrach. Gdy użytkownik z wyższymi uprawnieniami, taki jak administrator obszaru roboczego, uruchamia polecenia w klastrze, ich token z wyższymi uprawnieniami jest widoczny w tym samym środowisku.
Możesz określić, które klastry w obszarze roboczym mają typy klastrów, których dotyczy to ustawienie. Zobacz Znajdowanie wszystkich udostępnionych klastrów bez izolacji (w tym równoważnych starszych trybów klastra).
Oprócz tego ustawienia na poziomie konta istnieje ustawienie na poziomie obszaru roboczego o nazwie Wymuszaj izolację użytkownika. Administratorzy kont mogą umożliwić mu zapobieganie tworzeniu lub uruchamianiu typu dostępu klastra "Brak udostępnionej izolacji" lub jego odpowiedniku starszych typów klastrów.
Włączanie ustawienia ochrony administratora na poziomie konta
Jako administrator konta zaloguj się do konsoli konta.
Ważne
Jeśli żaden użytkownik w dzierżawie microsoft Entra ID (dawniej Azure Active Directory) nie zalogował się jeszcze do konsoli konta, użytkownik lub inny użytkownik w dzierżawie musi zalogować się jako pierwszy administrator konta. Aby to zrobić, musisz być administratorem globalnym identyfikatora firmy Microsoft Administracja istratorem, ale dopiero po pierwszym zalogowaniu się do konsoli konta usługi Azure Databricks. Po pierwszym zalogowaniu zostaniesz administratorem konta usługi Azure Databricks i nie potrzebujesz już roli globalnego Administracja istratora identyfikatora firmy Microsoft, aby uzyskać dostęp do konta usługi Azure Databricks. Jako pierwszy administrator konta możesz przypisać użytkowników w dzierżawie Microsoft Entra ID jako dodatkowych administratorów kont (którzy mogą przypisywać więcej administratorów kont). Dodatkowi administratorzy kont nie wymagają określonych ról w identyfikatorze Entra firmy Microsoft. Zobacz Zarządzanie użytkownikami, jednostkami usługi i grupami.
Kliknij przycisk Ustawienia
.Kliknij kartę Włączanie funkcji.
W obszarze Włącz ochronę Administracja dla klastrów "Brak udostępnionej izolacji" kliknij ustawienie, aby włączyć lub wyłączyć tę funkcję.
- Jeśli ta funkcja jest włączona, usługa Azure Databricks uniemożliwia automatyczne generowanie poświadczeń wewnętrznych interfejsu API usługi Databricks dla administratorów obszarów roboczych usługi Databricks w przypadku klastrów udostępnionych bez izolacji.
- Wprowadzenie zmian we wszystkich obszarach roboczych może potrwać do dwóch minut.
Ograniczenia
W przypadku użycia z klastrami udostępnionymi bez izolacji lub równoważnymi starszymi trybami klastra następujące funkcje usługi Azure Databricks nie działają, jeśli włączysz ochronę administracyjną dla klastrów udostępnionych bez izolacji na twoim koncie:
- Obciążenia środowiska uruchomieniowego Edukacja maszyny.
- Pliki obszaru roboczego.
- narzędzie dbutils Secrets.
- narzędzie dbutils Notebook.
- Operacje usługi Delta Lake przez administratorów, którzy tworzą, modyfikują lub aktualizują dane.
Inne funkcje mogą nie działać dla użytkowników administracyjnych w tym typie klastra, ponieważ te funkcje opierają się na automatycznie generowanych poświadczeniach wewnętrznych.
W takich przypadkach usługa Azure Databricks zaleca, aby administratorzy wykonali jedną z następujących czynności:
- Użyj innego typu klastra niż "Brak udostępnionej izolacji" lub jego odpowiednik starszych typów klastrów.
- Utwórz użytkownika niebędącego administratorem podczas korzystania z klastrów udostępnionych bez izolacji.
Znajdź wszystkie klastry udostępnione bez izolacji (w tym równoważne starsze tryby klastra)
Możesz określić, które klastry w obszarze roboczym mają wpływ na to ustawienie na poziomie konta.
Zaimportuj poniższy notes do wszystkich obszarów roboczych i uruchom notes.
Pobieranie listy wszystkich notesów klastrów udostępnionych bez izolacji
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla