Aktivera administratörsskydd för kluster med "Ingen isolering delas" på ditt konto

Kontoadministratörer kan förhindra att interna autentiseringsuppgifter genereras automatiskt för Azure Databricks-arbetsyteadministratörer på inga isoleringsdelade kluster. Inga isoleringsdelade kluster är kluster som har listrutan Åtkomstläge inställd på Ingen isolering delas.

Viktigt!

Klustergränssnittet har nyligen ändrats. Inställningen Inget isoleringsläge för delad åtkomst för ett kluster visades tidigare som standardklusterläge. Om du använde klusterläget Hög samtidighet utan ytterligare säkerhetsinställningar, till exempel tabellåtkomstkontroll (tabell-ACL) eller genomströmning av autentiseringsuppgifter, används samma inställningar som i standardklusterläge. Administratörsinställningen på kontonivå som beskrivs i den här artikeln gäller både läget För delad åtkomst utan isolering och motsvarande äldre klusterlägen. En jämförelse av det gamla användargränssnittet och de nya klustertyperna för användargränssnittet finns i Kluster användargränssnittsändringar och klusteråtkomstlägen.

Administratörsskyddet för delade kluster utan isolering på ditt konto skyddar administratörskonton från att dela interna autentiseringsuppgifter i en miljö som delas med andra användare. Aktivering av den här inställningen kan påverka arbetsbelastningar som körs av administratörer. Se Begränsningar.

Inga isoleringsdelade kluster kör godtycklig kod från flera användare i samma delade miljö, ungefär som på en virtuell molndator som delas mellan flera användare. Data eller interna autentiseringsuppgifter som har etablerats i den miljön kan vara tillgängliga för all kod som körs i den miljön. För att anropa Azure Databricks-API:er för normala åtgärder etableras åtkomsttoken för användarnas räkning till dessa kluster. När en användare med högre privilegier, till exempel en arbetsyteadministratör, kör kommandon i ett kluster visas deras token med högre privilegier i samma miljö.

Du kan avgöra vilka kluster på en arbetsyta som har klustertyper som påverkas av den här inställningen. Se Hitta alla delade kluster utan isolering (inklusive motsvarande äldre klusterlägen).

Förutom den här inställningen på kontonivå finns det en inställning på arbetsytenivå som kallas Framtvinga användarisolering. Kontoadministratörer kan göra det möjligt för den att förhindra att en klusteråtkomsttyp "Ingen isolering delas" eller dess motsvarande äldre klustertyper skapas eller startas.

Aktivera inställningen för administratörsskydd på kontonivå

1. Logga in på kontokonsolen som kontoadministratör.

   Viktigt!

   Om inga användare i din Microsoft Entra-ID (tidigare Azure Active Directory) klientorganisation ännu har loggat in på kontokonsolen, måste du eller en annan användare i klientorganisationen logga in som den första kontoadministratören. För att göra detta måste du vara global administratör för Microsoft Entra-ID, men bara när du loggar in på Azure Databricks-kontokonsolen. Vid första inloggningen blir du administratör för Azure Databricks-kontot och behöver inte längre rollen Global administratör för Microsoft Entra-ID för att få åtkomst till Azure Databricks-kontot. Som den första kontoadministratören kan du tilldela användare i Microsoft Entra ID-klientorganisationen som ytterligare kontoadministratörer (som själva kan tilldela fler kontoadministratörer). Ytterligare kontoadministratörer kräver inte specifika roller i Microsoft Entra-ID. Se Hantera användare, tjänstens huvudnamn och grupper.

2. Klicka på Inställningar.

3. Klicka på fliken Funktionsaktivering .

4. Under Aktivera administratörsskydd för kluster med "Ingen isolering delad" klickar du på inställningen för att aktivera eller inaktivera den här funktionen.

   • Om funktionen är aktiverad förhindrar Azure Databricks automatisk generering av interna autentiseringsuppgifter för Databricks API för Databricks-arbetsyteadministratörer på delade kluster utan isolering.
   • Det kan ta upp till två minuter innan ändringarna börjar gälla på alla arbetsytor.

Begränsningar

När de används utan delade isoleringskluster eller motsvarande äldre klusterlägen fungerar inte följande Azure Databricks-funktioner om du aktiverar administratörsskydd för inga isoleringsdelade kluster på ditt konto:

• Machine Learning Runtime-arbetsbelastningar .
• Arbetsytefiler.
• dbutils Secrets-verktyget.
• dbutils Notebook-verktyget.
• Delta Lake-åtgärder av administratörer som skapar, ändrar eller uppdaterar data.

Andra funktioner kanske inte fungerar för administratörsanvändare av den här klustertypen eftersom dessa funktioner förlitar sig på automatiskt genererade interna autentiseringsuppgifter.

I dessa fall rekommenderar Azure Databricks att administratörer gör något av följande:

• Använd en annan klustertyp än "Ingen isolering delad" eller motsvarande äldre klustertyper.
• Skapa en icke-administratörsanvändare när du använder delade kluster utan isolering.

Hitta alla delade kluster utan isolering (inklusive motsvarande äldre klusterlägen)

Du kan avgöra vilka kluster på en arbetsyta som påverkas av den här inställningen på kontonivå.

Importera följande notebook-fil till alla dina arbetsytor och kör notebook-filen.

Hämta en lista över alla notebook-filer för delade kluster utan isolering

Hämta notebook-fil