Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page décrit comment les administrateurs de compte peuvent utiliser un paramètre au niveau du compte pour empêcher la génération automatique d’informations d’identification internes pour les administrateurs d’espace de travail Azure Databricks sur aucun cluster partagé d’isolation.
Note
Les administrateurs d’espace de travail peuvent utiliser le paramètre Appliquer l’isolation utilisateur pour désactiver l’utilisation de clusters partagés d’isolation dans un espace de travail.
Les administrateurs de compte ne peuvent désactiver aucun cluster partagé d’isolation dans tous les nouveaux espaces de travail à l’aide du paramètre Désactiver les fonctionnalités héritées .
La protection administrateur pour les clusters « Aucune isolation partagée » sur votre compte permet de protéger les comptes administrateur contre le partage d’informations d’identification internes dans un environnement partagé avec d’autres utilisateurs. L’activation de ce paramètre peut avoir un impact sur les charges de travail exécutées par les administrateurs. Voir Limitations.
Qu’est-ce qu’aucun cluster partagé d’isolation ?
Aucun cluster partagé d’isolation n’est des ressources de calcul qui utilisent le mode d’accès hérité Sans isolation partagée.
Les clusters « Aucune isolation partagée » exécutent du code arbitraire de plusieurs utilisateurs dans le même environnement partagé, comme ce qui se passe sur une machine virtuelle cloud partagée entre plusieurs utilisateurs. Les données ou les informations d’identification internes approvisionnées dans cet environnement peuvent être accessibles à tout code exécuté dans cet environnement.
Pour appeler les API Azure Databricks pour les opérations normales, les jetons d’accès sont approvisionnés pour le compte des utilisateurs sur ces clusters. Lorsqu’un utilisateur privilégié plus élevé, tel qu’un administrateur d’espace de travail, exécute des commandes sur un cluster, son jeton privilégié supérieur est visible dans le même environnement.
Activer le paramètre de protection administrateur au niveau du compte
Pour déterminer quels clusters d’un espace de travail seront affectés par ce paramètre, consultez Rechercher tous vos clusters partagés sans isolation (y compris les modes de cluster hérités équivalents)
En tant qu’administrateur de compte, connectez-vous à la console de compte.
Important
Si aucun utilisateur de votre locataire Microsoft Entra ID n’est encore connecté à la console de compte, vous ou un autre utilisateur de votre locataire devez vous connecter comme premier administrateur de compte. Pour ce faire, vous devez être Administrateur général Microsoft Entra ID, mais uniquement quand vous vous connectez pour la première fois à la console de compte Azure Databricks. Dès la première connexion, vous devenez administrateur de compte Azure Databricks et n’avez plus besoin du rôle Administrateur général Microsoft Entra ID pour accéder au compte Azure Databricks. En tant que premier administrateur de compte, vous pouvez attribuer des utilisateurs dans le locataire Microsoft Entra ID comme administrateurs de compte supplémentaires (qui peuvent eux-mêmes attribuer davantage d’administrateurs de compte). Les administrateurs de compte supplémentaires ne nécessitent pas de rôles spécifiques dans Microsoft Entra ID. Consultez Gérer les utilisateurs, les principaux de service et les groupes.
Cliquez sur Paramètres
.Cliquez sur l’onglet Activation des fonctionnalités.
Sous Activer la protection administrateur pour les clusters « Aucune isolation partagée », cliquez sur le paramètre pour activer ou désactiver cette fonctionnalité.
- Si la fonctionnalité est activée, Azure Databricks empêche la génération automatique d’informations d’identification internes de l’API Databricks pour les administrateurs de l’espace de travail Databricks sur aucun cluster partagé d’isolation.
- Les modifications peuvent prendre jusqu’à deux minutes pour prendre effet sur tous les espaces de travail.
Limites
Lorsqu’elles sont utilisées sans clusters partagés d’isolation ou les modes de cluster hérités équivalents, les fonctionnalités Azure Databricks suivantes ne fonctionnent pas si vous activez la protection de l’administrateur pour aucun cluster partagé d’isolation sur votre compte :
- Charges de travail du Runtime Machine Learning.
- Fichiers d’espace de travail.
- Utilitaire de secrets (dbutils).
- Utilitaire de notebook (dbutils).
- Opérations Delta Lake par les administrateurs qui créent, modifient ou mettent à jour des données.
D’autres fonctionnalités peuvent ne pas fonctionner pour les utilisateurs administrateurs sur ce type de cluster, car ces fonctionnalités s’appuient sur des informations d’identification internes générées automatiquement.
Dans ces cas, Azure Databricks recommande que les administrateurs effectuent l’une des opérations suivantes :
- Utilisez un type de cluster différent de celui d’aucune isolation partagée ou de ses types de cluster hérités équivalents.
- Créez un utilisateur non administrateur lors de l’utilisation de clusters partagés d’isolation.
Recherchez tous vos clusters partagés sans isolation (y compris les modes de cluster hérités équivalents)
Vous pouvez déterminer quels clusters dans un espace de travail sont affectés par ce paramètre au niveau du compte.
Importez le notebook suivant dans tous vos espaces de travail et exécutez-le.