Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Op deze pagina wordt beschreven hoe accountbeheerders een instelling op accountniveau kunnen gebruiken om te voorkomen dat interne referenties automatisch worden gegenereerd voor Beheerders van Azure Databricks-werkruimten zonder isolatie gedeelde clusters.
Opmerking
Werkruimtebeheerders kunnen de instelling Gebruikersisolatie afdwingen gebruiken om het gebruik van gedeelde isolatieclusters in een werkruimte uit te schakelen.
Accountbeheerders kunnen geen gedeelde isolatieclusters in alle nieuwe werkruimten uitschakelen met behulp van de instelling Verouderde functies uitschakelen .
De beheerdersbeveiliging voor gedeelde clusters zonder isolatie in uw account helpt beheerdersaccounts te beschermen tegen het delen van interne referenties in een omgeving die wordt gedeeld met andere gebruikers. Het inschakelen van deze instelling kan van invloed zijn op workloads die worden uitgevoerd door beheerders. Zie beperkingen.
Wat zijn gedeelde isolatieclusters?
Gedeelde isolatieclusters zijn rekenresources die gebruikmaken van de verouderde toegangsmodus Geen isolatie gedeeld.
Geen isolatie gedeelde clusters voeren willekeurige code uit van meerdere gebruikers in dezelfde gedeelde omgeving, vergelijkbaar met wat er gebeurt op een virtuele cloudmachine die wordt gedeeld door meerdere gebruikers. Gegevens of interne referenties die voor die omgeving zijn ingericht, zijn mogelijk toegankelijk voor alle code die in die omgeving wordt uitgevoerd.
Als u Azure Databricks-API's wilt aanroepen voor normale bewerkingen, worden toegangstokens ingericht namens gebruikers voor deze clusters. Wanneer een gebruiker met hogere bevoegdheden, zoals een werkruimtebeheerder, opdrachten uitvoert op een cluster, is het token met hogere bevoegdheden zichtbaar in dezelfde omgeving.
De instelling voor beheerdersbeveiliging op accountniveau inschakelen
Als u wilt bepalen welke clusters in een werkruimte worden beïnvloed door deze instelling, raadpleegt u Al uw gedeelde clusters zonder isolatie zoeken (inclusief gelijkwaardige verouderde clustermodi).
Meld u als accountbeheerder aan bij de accountconsole.
Belangrijk
Als er nog geen gebruikers in uw Microsoft Entra ID-tenant zijn aangemeld bij de accountconsole, moet u of een andere gebruiker in uw tenant zich aanmelden als de eerste accountbeheerder. Hiervoor moet u een globale beheerder van Microsoft Entra ID zijn, maar alleen wanneer u zich voor het eerst aanmeldt bij de Azure Databricks-accountconsole. Bij de eerste aanmelding wordt u een Azure Databricks-accountbeheerder en hebt u de rol globale beheerder van Microsoft Entra ID niet meer nodig om toegang te krijgen tot het Azure Databricks-account. Als eerste accountbeheerder kunt u gebruikers in de Microsoft Entra ID-tenant toewijzen als extra accountbeheerders (die zelf meer accountbeheerders kunnen toewijzen). Voor extra accountbeheerders zijn geen specifieke rollen in Microsoft Entra ID vereist. Zie Gebruikers, service-principals en groepen beheren.
Klik op Instellingen
.Klik op het tabblad Functie-inschakeling .
Klik onder Beheerbeveiliging inschakelen voor clusters zonder isolatie gedeelde clusters op de instelling om deze functie in of uit te schakelen.
- Als de functie is ingeschakeld, voorkomt Azure Databricks dat interne referenties voor de Databricks-API automatisch worden gegenereerd voor beheerders van Databricks-werkruimten zonder isolatie gedeelde clusters.
- Het kan tot twee minuten duren voordat wijzigingen van kracht zijn voor alle werkruimten.
Beperkingen
Wanneer u geen gedeelde isolatieclusters of de equivalente verouderde clustermodi gebruikt, werken de volgende Functies van Azure Databricks niet als u beheerdersbeveiliging inschakelt voor gedeelde clusters zonder isolatie in uw account:
- Machine Learning Runtime-workloads .
- Werkruimtebestanden.
- dbutils Secrets utility.
- dbutils Notebook-hulpprogramma.
- Delta Lake bewerkingen door beheerders die gegevens maken, wijzigen of bijwerken.
Andere functies werken mogelijk niet voor beheerders van dit clustertype, omdat deze functies afhankelijk zijn van automatisch gegenereerde interne referenties.
In die gevallen raadt Azure Databricks beheerders aan een van de volgende handelingen uit te voeren:
- Gebruik een ander clustertype dan geen isolatie gedeelde of equivalente verouderde clustertypen.
- Maak een niet-beheerdersgebruiker wanneer u geen gedeelde clusters met isolatie gebruikt.
Zoek al uw gedeelde clusters zonder isolatie (inclusief equivalente verouderde clustermodi)
U kunt bepalen welke clusters in een werkruimte worden beïnvloed door deze instelling op accountniveau.
Importeer het volgende notebook in al uw werkruimten en voer het notebook uit.