為帳戶的「無隔離共用」叢集啟用管理員保護
帳戶管理員可以防止在無隔離共用叢集自動為 Azure Databricks 工作區管理員產生內部認證。 無隔離共用叢集是將存取模式下拉式功能表設為無隔離共用叢集。
重要
叢集 UI 最近已變更。 叢集的無隔離共用存取模式設定先前顯示為標準叢集模式。 如果您使用高並行叢集模式,而沒有其他安全性設定,例如資料表存取控制(資料表 ACL)或認證傳遞,則相同的設定會與標準叢集模式搭配使用。 本文討論的帳戶層級管理員設定適用於無隔離共用存取模式及其相等的舊版叢集模式。 如需舊 UI 和新 UI 叢集類型的比較,請參閱叢集 UI 變更及叢集存取模式。
針對帳戶的無隔離共用叢集,管理員保護功能可協助保護管理員帳戶,避免在與其他使用者共用的環境共用內部認證。 啟用此設定可能會影響管理員所執行的工作負載。 請參閱限制。
無隔離共用叢集會從同一共用環境的多位使用者執行任意程式碼,類似於在多位使用者共用的雲端虛擬機器所發生的情況。 佈建至該環境的資料或內部認證,可能可供該環境內執行的任何程式碼存取。 若要呼叫 Azure Databricks API 以進行正常作業,存取權杖會代表使用者佈建至這些叢集。 當較高權限的使用者(例如工作區管理員)在叢集執行命令時,其較高權限的權杖會顯示在同一個環境。
您可以判斷工作區的哪些叢集具有受此設定影響的叢集類型。 請參閱尋找所有無隔離共用叢集(包括相應的舊版叢集模式)。
除了此帳戶層級設定之外,還有稱為強制使用者隔離的工作區層級設定。 帳戶管理員可啟用此功能,以防止建立或啟動「無隔離共用」叢集存取類型或其 對等的舊版叢集類型。
啟用帳戶層級管理員保護設定
請以帳戶管理員身分登入帳戶主控台。
重要
如果您的 Microsoft Entra ID 租用戶中尚未有使用者登入帳戶主控台,則您或租用戶的其他使用者必須以第一個帳戶管理員身分登入。為此,您必須是 Microsoft Entra ID 全域管理員,但僅限於首次登入 Azure Databricks 帳戶主控台時。 第一次登入時,您會成為 Azure Databricks 帳戶管理員,不再需要 Microsoft Entra ID 全域管理員角色來存取 Azure Databricks 帳戶。 身為第一個帳戶管理員,您可以將 Microsoft Entra ID 租用戶使用者中的使用者指派為其他帳戶管理員(他們可以自行指派更多帳戶管理員)。 其他帳戶管理員不需要在 Microsoft Entra 具有特定角色。 請參閱管理使用者、服務主體,和群組。
按一下 [設定]
。按一下 [功能啟用] 索引標籤 。
在啟用「無隔離共用」叢集的管理員保護底下,按一下設定以啟用或停用此功能。
- 若要啟用此功能,Azure Databricks 會阻止在無隔離共用叢集為 Databricks 工作區管理員自動產生 Databricks API 內部認證。
- 變更最多可能需要兩分鐘,才會在所有工作區生效。
限制
與無隔離共用叢集或對等的舊版叢集模式搭配使用時,如果您為帳戶上的無隔離共用叢集啟用管理員保護,下列 Azure Databricks 功能將無法運作:
- 機器學習執行階段工作負載。
- 工作區檔案。
- dbutils Secrets 公用程式。
- dbutils Notebook 公用程式。
- 管理員建立、修改或更新資料的 Delta Lake 操作。
此叢集類型的管理員使用者可能無法使用其他功能,因為這些功能依賴自動產生的內部認證。
在這些情況下,Azure Databricks 建議管理員執行下列其中一項動作:
- 使用與「無隔離共用」或其相等舊版叢集類型不同的叢集類型。
- 使用無隔離共用叢集時,建立非管理員使用者。
尋找所有無隔離共用叢集(包括相等的舊版叢集模式)
您可以判斷工作區的哪些叢集會受到此帳戶層級設定的影響。
將下列筆記本匯入所有工作區並執行筆記本。