Habilitar a proteção de administrador para clusters "Sem isolamento compartilhado" em sua conta
Os administradores da conta podem impedir que credenciais internas sejam geradas automaticamente para administradores de workspace do Azure Databricks nos clusters Sem isolamento compartilhado. Clusters Sem isolamento compartilhado são clusters com a lista suspensa Modo de acesso definida como Sem isolamento compartilhado.
Importante
A interface do usuário dos clusters foi alterada recentemente. A configuração de modo de acesso Sem isolamento compartilhado para um cluster apareceu anteriormente como o modo de cluster padrão. Se você usar o modo de cluster de Alta simultaneidade sem configurações de segurança adicionais, como ACLs de tabela (controle de acesso de tabela) ou passagem de credenciais, as mesmas configurações serão usadas com o modo de cluster padrão. A configuração de administrador no nível da conta que este artigo discute se aplica ao modo de acesso Sem isolamento compartilhado e aos modos de cluster herdados equivalentes. Para obter uma comparação dos tipos de interface do usuário antiga e nova, consulte Alterações na interface do usuário dos clusters e modos de acesso do cluster.
A proteção de administrador para clusters Sem isolamento compartilhado em sua conta, ajuda a proteger as contas de administrador do compartilhamento de credenciais internas em um ambiente compartilhado com outros usuários. A habilitação dessa configuração pode afetar cargas de trabalho executadas por administradores. Confira Limitações.
Clusters Sem isolamento compartilhado executam código arbitrário de vários usuários no mesmo ambiente compartilhado, semelhante ao que acontece em uma máquina virtual de nuvem que é compartilhada entre vários usuários. Dados ou credenciais internas provisionadas para esse ambiente podem estar acessíveis a qualquer código em execução nesse ambiente. Para chamar as APIs do Azure Databricks para operações normais, os tokens de acesso são provisionados em nome dos usuários para esses clusters. Quando um usuário com privilégios mais elevados, como um administrador de workspace, executa comandos em um cluster, seu token com privilégios mais elevados fica visível no mesmo ambiente.
Você pode determinar quais tipos de clusters em um workspace são afetados por essa configuração. Consulte Localizar todos os clusters Sem isolamento compartilhado (incluindo modos de cluster herdados equivalentes).
Além dessa configuração no nível da conta, há uma configuração no nível do workspace chamada Impor Isolamento do Usuário. Os administradores da conta podem habilitá-la para impedir a criação ou o início de um tipo de acesso de cluster "Sem isolamento compartilhado" ou seus tipos de cluster herdados equivalentes.
Habilitar a configuração de proteção de administrador no nível da conta
Como administrador de conta, faça logon no Console da conta.
Importante
Se nenhum usuário em seu locatário do Microsoft Entra ID ainda tiver feito logon no console da conta, você ou outro usuário em seu locatário deverá fazer logon como o primeiro administrador da conta. Para fazer isso, você deve ser um Administrador Global do Microsoft Entra ID, mas somente quando fizer logon pela primeira vez no Console de Conta do Azure Databricks. Após o primeiro logon, você se torna um administrador de conta do Azure Databricks e não precisa mais da função de Administrador Global do Microsoft Entra ID para acessar a conta do Azure Databricks. Como primeiro administrador de conta, você pode atribuir usuários no locatário do Microsoft Entra ID como administradores de conta adicionais (que podem atribuir mais administradores de conta). Administradores de conta adicionais não exigem funções específicas no Microsoft Entra ID. Consulte Gerenciar usuários, entidades de serviço e grupos.
Clique em Configurações .
Clique na guia Habilitação de recursos.
Em Habilitar proteção de administrador para Clusters "Sem isolamento compartilhado", clique na configuração para habilitar ou desabilitar esse recurso.
- Se o recurso estiver habilitado, o Azure Databricks impedirá a geração automática de credenciais internas da API do Databricks para administradores do workspace do Databricks nos clusters Sem isolamento compartilhado.
- As alterações podem levar até dois minutos para entrar em vigor em todos os workspaces.
Limitações
Quando usados com clusters Sem isolamento compartilhado ou os modos de cluster herdados equivalentes, os seguintes recursos do Azure Databricks não funcionarão se você habilitar a proteção de administrador para clusters Sem isolamento compartilhado na conta:
- Cargas de trabalho do Machine Learning Runtime.
- Arquivos do espaço de trabalho.
- Utilitário de segredos dbutils.
- Utilitário de Notebook dbutils.
- Operações do Delta Lake por administradores que criam, modificam ou atualizam dados.
Outros recursos podem não funcionar para usuários administradores nesse tipo de cluster, porque esses recursos dependem de credenciais internas geradas automaticamente.
Nesses casos, o Azure Databricks recomenda que os administradores realizem um dos seguintes procedimentos:
- Use um tipo de cluster diferente de "Sem isolamento compartilhado" ou seus tipos de cluster herdados equivalentes.
- Criar um usuário não administrador ao usar clusters Sem isolamento compartilhado.
Localizar todos os clusters Sem isolamento compartilhado (incluindo modos de cluster herdados equivalentes)
Você pode determinar quais clusters em um workspace são afetados por essa configuração de nível de conta.
Importe o notebook a seguir para todos os workspaces e execute o notebook.