Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta página se describe cómo los administradores de cuentas pueden usar una configuración de nivel de cuenta para evitar que las credenciales internas se generen automáticamente para los administradores del área de trabajo de Azure Databricks en clústeres compartidos de aislamiento.
Nota:
Los administradores del área de trabajo pueden usar la opción Aplicar aislamiento de usuario para deshabilitar el uso de clústeres compartidos sin aislamiento en un área de trabajo.
Los administradores de cuentas no pueden deshabilitar clústeres compartidos de aislamiento en todas las áreas de trabajo nuevas mediante la opción Deshabilitar características heredadas .
La protección de administrador para los clústeres compartidos sin aislamiento en su cuenta ayuda a impedir que las cuentas de administrador compartan las credenciales internas en un entorno que se comparte con otros usuarios. La habilitación de esta configuración podría afectar a las cargas de trabajo que ejecutan los administradores. Consulte Limitaciones.
¿Qué no son clústeres compartidos de aislamiento?
Ningún clúster compartido de aislamiento son recursos de proceso que usan el modo de acceso heredado Sin aislamiento compartido.
Los clústeres compartidos sin aislamiento ejecutan código arbitrario de varios usuarios en el mismo entorno compartido, de forma similar a lo que sucede en una máquina virtual en la nube que se comparte entre varios usuarios. Los datos o las credenciales internas que se aprovisionan en ese entorno podrían ser accesibles para cualquier código que se ejecute dentro de ese entorno.
Para llamar a las API de Azure Databricks para realizar operaciones normales, se aprovisionan tokens de acceso en nombre de los usuarios en estos clústeres. Cuando un usuario con privilegios más elevados, como un administrador del área de trabajo, ejecuta comandos en un clúster, su token con privilegios más elevados es visible en el mismo entorno.
Habilitación de la configuración de protección de administrador de nivel de cuenta
Para determinar qué clústeres de un área de trabajo se verán afectados por esta configuración, consulte Búsqueda de todos los clústeres compartidos sin aislamiento (incluidos los modos de clúster heredado equivalentes).
Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
Importante
Si ningún usuario del inquilino de Microsoft Entra ID no ha iniciado sesión todavía en la consola de la cuenta, usted u otro usuario del inquilino deben iniciar sesión como primer administrador de la cuenta. Para ello, debe ser administrador global de Microsoft Entra ID, pero solo la primera vez que inicie sesión en la consola de cuenta de Azure Databricks. Tras el primer inicio de sesión, se convertirá en administrador de cuentas de Azure Databricks, por lo que dejará de necesitar el rol de administrador global de Microsoft Entra ID para acceder a la cuenta de Azure Databricks. Como primer administrador de la cuenta, puede asignar usuarios del inquilino de Microsoft Entra ID como administradores de cuenta adicionales (que a su vez pueden asignar más administradores de cuentas). Los administradores de cuentas adicionales no requieren roles específicos en Microsoft Entra ID. Consulte Administración de usuarios, entidades de servicio y grupos.
Haga clic en Configuración
.Haga clic en la pestaña Habilitación de funcionalidades.
En Enable Admin Protection for “No Isolation Shared” Clusters (Habilitar la protección de administrador para clústeres compartidos sin aislamiento), haga clic en la configuración para habilitar o deshabilitar esta característica.
- Si la característica está habilitada, Azure Databricks impide la generación automática de credenciales internas de la API de Databricks para los administradores del área de trabajo de Databricks sin clústeres compartidos de aislamiento.
- Los cambios pueden tardar hasta dos minutos en surtir efecto en todas las áreas de trabajo.
Limitaciones
Cuando se usa sin clústeres compartidos de aislamiento ni los modos de clúster heredado equivalentes, las siguientes características de Azure Databricks no funcionan si habilita la protección de administrador para clústeres compartidos sin aislamiento en su cuenta:
- Cargas de trabajo de Runtime para Machine Learning.
- Archivos del área de trabajo.
- Utilidad Secretos de dbutils.
- Utilidad Cuaderno de dbutils.
- Operaciones de Delta Lake por administradores que crean, modifican o actualizan datos.
Es posible que otras características no funcionen para los usuarios administradores en este tipo de clúster porque estas características dependen de credenciales internas generadas automáticamente.
En esos casos, Azure Databricks recomienda que los administradores realicen una de las acciones siguientes:
- Use un tipo de clúster diferente que ningún tipo de clúster compartido de aislamiento o sus tipos de clúster heredados equivalentes.
- Cree un usuario que no sea administrador cuando no use clústeres compartidos de aislamiento.
Buscar todos los clústeres compartidos sin aislamiento (incluidos los modos de clúster heredado equivalentes)
Puede determinar qué clústeres de un área de trabajo se ven afectados por esta configuración de nivel de cuenta.
Importe el cuaderno siguiente en todas las áreas de trabajo y ejecútelo.