Включение защиты администратора для кластеров без изоляции в учетной записи

Администраторы учетных записей могут предотвратить автоматическое создание внутренних учетных данных для администраторов рабочей области Azure Databricks в кластерах без изоляции. Кластеры без изоляции — это кластеры, в которых раскрывающееся меню режима доступа установлено на "Нет общей изоляции".

Важно!

Недавно изменен пользовательский интерфейс кластеров. Параметр режима общего доступа к изоляции для кластера ранее отображался как стандартный режим кластера. Если вы использовали режим высокой параллельности кластера без дополнительных параметров безопасности, таких как управление доступом к таблицам (Table ACLs) или сквозная передача учетных данных, используются те же параметры, что и в стандартном режиме кластера. Параметр администратора уровня учетной записи, который рассматривается в этой статье, применяется как к режиму общего доступа без изоляции, так и к его эквивалентным устаревшим режимам кластера. Сравнение старых типов пользовательского интерфейса и новых типов кластеров пользовательского интерфейса см. в разделе "Изменения пользовательского интерфейса кластеров" и режимы доступа к кластеру.

Защита администратора для общих кластеров без изоляции в вашей учетной записи помогает защитить учетные записи администратора от совместного использования внутренних учетных данных в среде, которая предоставляется другим пользователям. Включение этого параметра может повлиять на рабочие нагрузки, выполняемые администраторами. См . ограничения.

Общие кластеры изоляции не выполняют произвольный код от нескольких пользователей в одной общей среде, аналогично тому, что происходит на облачной виртуальной машине, которая предоставляется нескольким пользователям. Данные или внутренние учетные данные, подготовленные для этой среды, могут быть доступны любому коду, выполняемому в этой среде. Чтобы вызвать API Azure Databricks для обычных операций, маркеры доступа подготавливаются от имени пользователей в этих кластерах. Когда пользователь с более высоким уровнем привилегий, например администратор рабочей области, выполняет команды в кластере, их маркер с более высоким уровнем привилегий отображается в той же среде.

Вы можете определить, какие кластеры в рабочей области имеют типы кластеров, затронутые этим параметром. См. статью "Поиск всех общих кластеров без изоляции" (включая эквивалентные устаревшие режимы кластера).

Помимо этого параметра уровня учетной записи, существует параметр уровня рабочей области с именем "Принудительное применение изоляции пользователей". Администраторы учетных записей могут включить его, чтобы предотвратить создание или запуск типа доступа к кластеру без изоляции или его эквивалентных устаревших типов кластеров.

Включение параметра защиты администратора на уровне учетной записи

1. Войдите в консоль учетной записи в качестве администратора учетной записи.

   Важно!

   Если пользователи в клиенте идентификатора Microsoft Entra еще не вошли в консоль учетной записи, вы или другой пользователь в клиенте должны войти в качестве первого администратора учетной записи. Для этого необходимо быть глобальным администратором идентификатора Microsoft Entra ID, но только при первом входе в консоль учетной записи Azure Databricks. После первого входа вы становитесь администратором учетной записи Azure Databricks и больше не требуется роль глобального администратора Идентификатора Майкрософт для доступа к учетной записи Azure Databricks. Как первый администратор учетной записи, вы можете назначить пользователей в клиенте Идентификатора Майкрософт в качестве дополнительных администраторов учетных записей (которые сами могут назначать больше администраторов учетных записей). Дополнительные администраторы учетных записей не требуют определенных ролей в идентификаторе Microsoft Entra. См. статью "Управление пользователями", "Субъекты-службы" и "Группы".

2. Нажмите кнопку "Параметры".

3. Перейдите на вкладку включения компонентов.

4. В разделе "Включить защиту администраторов" для кластеров без изоляции щелкните параметр, чтобы включить или отключить эту функцию.

   • Если эта функция включена, Azure Databricks предотвращает автоматическое создание внутренних учетных данных API Databricks для администраторов рабочих областей Databricks в кластерах без изоляции.
   • Изменения могут занять до двух минут, чтобы вступили в силу во всех рабочих областях.

Ограничения

Если вы используете без изоляции общих кластеров или аналогичные устаревшие режимы кластера, следующие функции Azure Databricks не работают, если включить защиту администратора для общих кластеров без изоляции в учетной записи:

• Машинное обучение рабочие нагрузки среды выполнения.
• Файлы рабочей области.
• служебная программа dbutils Secret.
• служебная программа dbutils Notebook.
• операции Delta Lake администраторами, которые создают, изменяют или обновляют данные.

Другие функции могут не работать для пользователей администратора в этом типе кластера, так как эти функции используют автоматически созданные внутренние учетные данные.

В таких случаях Azure Databricks рекомендует администраторам выполнять одно из следующих действий:

• Используйте другой тип кластера, отличный от "Нет общей изоляции" или его эквивалентные устаревшие типы кластеров.
• Создайте пользователя без администратора при использовании общих кластеров изоляции.

Найдите все общие кластеры без изоляции (включая эквивалентные устаревшие режимы кластера)

Вы можете определить, какие кластеры в рабочей области влияют на этот параметр уровня учетной записи.

Импортируйте следующую записную книжку во все рабочие области и запустите записную книжку.

Получить список всех ноутбуков в кластерах с совместным использованием без изоляции

Получите записную книжку