在帐户中为“无隔离共享”群集启用管理员保护
帐户管理员可通过无隔离共享群集防止为 Azure Databricks 工作区管理员自动生成内部凭据。 无隔离共享群集是将“访问模式”下拉列表设置为“无隔离共享”的群集。
重要
群集 UI 最近进行了更改。 群集的无隔离共享访问模式设置以前显示为标准群集模式。 如果使用高并发群集模式而不使用其他安全设置(如表访问控制[表 ACL] 或凭据直通身份验证),则会采用与标准模式群集相同的设置。 本文讨论的帐户级管理员设置适用于无隔离共享访问模式及与其等效的旧群集模式。 有关旧版 UI 和新版 UI 群集类型的比较,请参阅群集 UI 更改和群集访问模式。
帐户的无隔离共享群集管理员保护有助于防止管理员帐户在与其他用户共享的环境中共享内部凭据。 启用此设置可能会影响管理员运行的工作负载。 请参阅限制。
无隔离共享群集在同一共享环境中运行来自多个用户的任意代码,这与在多个用户之间共享的云虚拟机类似。 在该环境中运行的任何代码都可以访问预配到该环境的数据或内部凭据。 若要为正常操作调用 Azure Databricks API,请以用户身份将访问令牌预配到这些群集。 当具有较高特权的用户(如工作区管理员)在群集上运行命令时,其较高特权令牌在同一环境中可见。
可以确定工作区中哪些群集的群集类型受此设置的影响。 请参阅查找所有无隔离共享群集(包括等效的旧版群集模式)。
除了此帐户级设置外,还有一个名为“强制用户隔离”的工作区级设置。 帐户管理员可以启用此设置,以防止创建或启动“非隔离共享”群集访问类型或其等效旧群集类型。
启用帐户级管理员保护设置
以帐户管理员身份登录到帐户控制台。
重要
如果 Microsoft Entra ID 租户中没有用户登录到帐户控制台,则你或租户中的其他用户必须作为第一个帐户管理员登录。为此,你必须成为 Microsoft Entra ID 全局管理员,但仅当你首次登录到 Azure Databricks 帐户控制台时才需要这样做。 首次登录时,你将成为 Azure Databricks 帐户管理员,并且不再需要使用 Microsoft Entra ID 全局管理员角色来访问 Azure Databricks 帐户。 第一个帐户管理员可以将 Microsoft Entra ID 租户中的用户分配为其他帐户管理员(他们可以自行分配更多的帐户管理员)。 其他帐户管理员不需要 Microsoft Entra ID 中的特定角色。 请参阅管理用户、服务主体和组。
单击“设置”。
单击“功能启用”选项卡。
在“为‘无隔离共享’群集启用管理员保护”下,单击设置以启用或禁用此功能。
- 如果启用该功能,Azure Databricks 将防止通过无隔离共享群集为 Databricks 工作区管理员自动生成 Databricks API 内部凭据。
- 更改可能需要 2 分钟才能在所有工作区中生效。
限制
使用无隔离共享群集或等效的旧版群集模式时,如果在帐户中为无隔离共享群集启用管理员保护,则以下 Azure Databricks 功能不起作用:
- 机器学习运行时工作负载。
- 工作区文件。
- dbutils 机密实用工具。
- dbutils 笔记本实用工具。
- Delta Lake 操作由创建、修改或更新数据的管理员完成。
其他功能可能不适用于此群集类型的管理员用户,因为这些功能需要使用自动生成的内部凭据。
在这种情况下,Azure Databricks 建议管理员执行以下操作之一:
- 使用“无隔离共享”群集类型或其等效旧群集类型以外的其他群集类型。
- 使用无隔离共享群集时创建非管理员用户。
查找所有无隔离共享群集(包括等效的旧版群集模式)
可以确定工作区中的哪些群集受此帐户级设置的影响。
将以下笔记本导入所有工作区,并运行该笔记本。