Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Na tej stronie opisano, jak administratorzy kont mogą używać ustawienia na poziomie konta, aby zapobiec automatycznemu generowaniu poświadczeń wewnętrznych dla administratorów obszarów roboczych usługi Azure Databricks bez udostępnionych klastrów izolacji.
Uwaga / Notatka
Administratorzy obszaru roboczego mogą użyć ustawienia Wymuszaj izolację użytkownika , aby wyłączyć używanie klastrów udostępnionych bez izolacji w obszarze roboczym.
Administratorzy kont nie mogą wyłączyć udostępnionych klastrów izolacji we wszystkich nowych obszarach roboczych przy użyciu ustawienia Wyłącz starsze funkcje .
Ochrona administratora dla współdzielonych klastrów bez izolacji w ramach twojego konta pomaga chronić konta administratora przed ujawnieniem poświadczeń wewnętrznych w środowisku współdzielonym z innymi użytkownikami. Włączenie tego ustawienia może mieć wpływ na obciążenia uruchamiane przez administratorów. Zobacz Ograniczenia.
Co to nie są udostępnione klastry izolacji?
Żadne klastry udostępnione izolacji nie są zasobami obliczeniowymi korzystającymi ze starszego trybu dostępu Bez udostępnionej izolacji.
Klastry udostępnione izolacji nie uruchamiają dowolnego kodu od wielu użytkowników w tym samym środowisku udostępnionym, podobnie jak w przypadku maszyny wirtualnej w chmurze współużytkowanej przez wielu użytkowników. Dane lub poświadczenia wewnętrzne udostępnione w tym środowisku mogą być dostępne dla każdego kodu działającego w tym środowisku.
Aby wywołać interfejsy API usługi Azure Databricks na potrzeby normalnych operacji, tokeny dostępu są aprowidowane w imieniu użytkowników w tych klastrach. Gdy użytkownik z wyższymi uprawnieniami, taki jak administrator obszaru roboczego, uruchamia polecenia w klastrze, ich token z wyższymi uprawnieniami jest widoczny w tym samym środowisku.
Włączanie ustawienia ochrony administratora na poziomie konta
Aby określić, które klastry w obszarze roboczym będą miały wpływ na to ustawienie, zobacz Znajdowanie wszystkich udostępnionych klastrów bez izolacji (w tym równoważnych starszych trybów klastra).
Jako administrator konta zaloguj się do konsoli konta.
Ważne
Jeśli żaden użytkownik w dzierżawie identyfikatora Entra firmy Microsoft nie zalogował się jeszcze do konsoli konta, użytkownik lub inny użytkownik w dzierżawie musi zalogować się jako pierwszy administrator konta. W tym celu musisz być administratorem globalnym identyfikatora entra firmy Microsoft, ale tylko wtedy, gdy najpierw zalogujesz się do konsoli konta usługi Azure Databricks. Po pierwszym zalogowaniu zostaniesz administratorem konta usługi Azure Databricks i nie potrzebujesz już roli Administratora globalnego identyfikatora Entra firmy Microsoft, aby uzyskać dostęp do konta usługi Azure Databricks. Jako pierwszy administrator konta możesz przypisać użytkowników w dzierżawie Microsoft Entra ID jako dodatkowych administratorów kont (którzy mogą przypisywać więcej administratorów kont). Dodatkowi administratorzy kont nie wymagają określonych ról w identyfikatorze Entra firmy Microsoft. Zobacz Zarządzanie użytkownikami, jednostkami usługi i grupami.
Kliknij pozycję Ustawienia
.Kliknij kartę Włączanie funkcji.
W obszarze Włącz ochronę administracyjną dla klastrów "Brak udostępnionej izolacji" kliknij ustawienie, aby włączyć lub wyłączyć tę funkcję.
- Jeśli ta funkcja jest włączona, usługa Azure Databricks uniemożliwia automatyczne generowanie poświadczeń wewnętrznych interfejsu API usługi Databricks dla administratorów obszarów roboczych usługi Databricks bez udostępnionych klastrów izolacji.
- Wprowadzenie zmian we wszystkich obszarach roboczych może potrwać do dwóch minut.
Ograniczenia
W przypadku użycia bez udostępnionych klastrów izolacji lub równoważnych starszych trybów klastra następujące funkcje usługi Azure Databricks nie działają, jeśli włączysz ochronę administracyjną dla klastrów udostępnionych bez izolacji na twoim koncie:
- Obciążenia środowiska uruchomieniowego usługi Machine Learning.
- Pliki obszaru roboczego.
- narzędzie dbutils Secrets.
- narzędzie dbutils Notebook.
- operacje w Delta Lake prowadzone przez administratorów, którzy tworzą, modyfikują lub aktualizują dane.
Inne funkcje mogą nie działać dla użytkowników administracyjnych w tym typie klastra, ponieważ te funkcje opierają się na automatycznie generowanych poświadczeniach wewnętrznych.
W takich przypadkach usługa Azure Databricks zaleca, aby administratorzy wykonali jedną z następujących czynności:
- Użyj innego typu klastra niż brak udostępnionej izolacji lub jego odpowiedników starszych typów klastrów.
- Utwórz użytkownika niebędącego administratorem, jeśli nie używasz udostępnionych klastrów izolacji.
Znajdź wszystkie klastry udostępnione bez izolacji (w tym równoważne starsze tryby klastra)
Możesz określić, które klastry w obszarze roboczym mają wpływ na to ustawienie na poziomie konta.
Zaimportuj poniższy notes do wszystkich obszarów roboczych i uruchom notes.