為帳戶的「無隔離共用」叢集啟用管理員保護
帳戶管理員可以防止在無隔離共用叢集上為 Azure Databricks 工作區系統管理員自動產生內部 credentials。 沒有隔離共用叢集是具有 存取模式的叢集, 下拉式清單 set沒有共用的隔離。
重要
叢集 UI 最近已變更。 叢集的無隔離共用存取模式設定先前顯示為標準叢集模式。 如果您使用高並行叢集模式 ,而沒有其他安全性設定,例如 table 訪問控制(Table ACL) 或認證傳遞,則相同的設定會與標準叢集模式搭配使用。 本文討論的帳戶層級管理員設定適用於無隔離共用存取模式及其相等的舊版叢集模式。 如需舊 UI 和新 UI 叢集類型的比較,請參閱叢集 UI 變更及叢集存取模式。
帳戶上無隔離共用叢集的系統管理保護可協助保護系統管理員帳戶,避免在與其他使用者共用的環境中共用內部 credentials。 啟用此設定可能會影響管理員所執行的工作負載。 請參閱限制。
無隔離共用叢集會從同一共用環境的多位使用者執行任意程式碼,類似於在多位使用者共用的雲端虛擬機器所發生的情況。 布建至該環境的數據或內部 credentials 可能被該環境內執行的任何程式代碼存取。 若要呼叫 Azure Databricks API 以進行正常作業,存取權杖會代表使用者佈建至這些叢集。 當較高權限的使用者(例如工作區管理員)在叢集執行命令時,其較高權限的權杖會顯示在同一個環境。
您可以判斷工作區的哪些叢集具有受此設定影響的叢集類型。 請參閱尋找所有無隔離共用叢集(包括相應的舊版叢集模式)。
除了此帳戶層級設定之外,還有稱為強制使用者隔離的工作區層級設定。 帳戶管理員可啟用此功能,以防止建立或啟動「無隔離共用」叢集存取類型或其 對等的舊版叢集類型。
啟用帳戶層級管理員保護設定
請以帳戶管理員身分登入帳戶主控台。
重要
如果您的 Microsoft Entra ID 租用戶中尚未有使用者登入帳戶主控台,則您或租用戶的其他使用者必須以第一個帳戶管理員身分登入。為此,您必須是 Microsoft Entra ID 全域管理員,但僅限於首次登入 Azure Databricks 帳戶主控台時。 第一次登入時,您會成為 Azure Databricks 帳戶管理員,不再需要 Microsoft Entra ID 全域管理員角色來存取 Azure Databricks 帳戶。 身為第一個帳戶管理員,您可以將 Microsoft Entra ID 租用戶使用者中的使用者指派為其他帳戶管理員(他們可以自行指派更多帳戶管理員)。 其他帳戶管理員不需要在 Microsoft Entra 具有特定角色。 請參閱管理使用者、服務主體,和群組。
按一下 [設定]
。按一下 [功能啟用] 索引標籤 。
在啟用「無隔離共用」叢集的管理員保護底下,按一下設定以啟用或停用此功能。
- 如果啟用此功能,Azure Databricks 會防止自動為「無隔離共享」叢集上的 Databricks 工作區系統管理員產生 Databricks API 內部編號 credentials。
- 變更最多可能需要兩分鐘,才會在所有工作區生效。
限制
與無隔離共用叢集或對等的舊版叢集模式搭配使用時,如果您為帳戶上的無隔離共用叢集啟用管理員保護,下列 Azure Databricks 功能將無法運作:
- 機器學習執行階段工作負載。
- 工作區檔案。
- dbutils Secrets 公用程式。
- dbutils Notebook 公用程式。
- 由建立、修改或 update 數據的系統管理員 Delta Lake 作業。
此叢集類型的系統管理員使用者可能無法使用其他功能,因為這些功能依賴於自動生成的內部 credentials。
在這些情況下,Azure Databricks 建議管理員執行下列其中一項動作:
- 使用與「無隔離共用」或其相等舊版叢集類型不同的叢集類型。
- 使用無隔離共用叢集時,建立非管理員使用者。
尋找所有無隔離共用叢集(包括相等的舊版叢集模式)
您可以判斷工作區的哪些叢集會受到此帳戶層級設定的影響。
將下列筆記本匯入所有工作區並執行筆記本。