Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página descreve como os administradores de conta podem usar uma configuração de nível de conta para impedir que credenciais internas sejam geradas automaticamente para os administradores de workspace do Azure Databricks em clusters compartilhados sem isolamento.
Observação
Os administradores do workspace podem usar a configuração Impor Isolamento do Usuário para desabilitar o uso de clusters compartilhados sem isolamento em um espaço de trabalho.
Os administradores de conta podem desabilitar clusters compartilhados sem isolamento em todos os novos workspaces usando a configuração Desabilitar recursos herdados.
A proteção de administrador para clusters Sem isolamento compartilhado em sua conta, ajuda a proteger as contas de administrador do compartilhamento de credenciais internas em um ambiente compartilhado com outros usuários. A habilitação dessa configuração pode afetar cargas de trabalho executadas por administradores. Confira Limitações.
O que são clusters compartilhados sem isolamento?
Clusters compartilhados sem isolamento são recursos de computação que utilizam o modo de acesso herdado Sem isolamento compartilhado.
Clusters Sem isolamento compartilhado executam código arbitrário de vários usuários no mesmo ambiente compartilhado, semelhante ao que acontece em uma máquina virtual de nuvem que é compartilhada entre vários usuários. Dados ou credenciais internas provisionadas para esse ambiente podem estar acessíveis a qualquer código em execução nesse ambiente.
Para chamar as APIs do Azure Databricks para operações normais, os tokens de acesso são provisionados em nome dos usuários para esses clusters. Quando um usuário com privilégios mais elevados, como um administrador de workspace, executa comandos em um cluster, seu token com privilégios mais elevados fica visível no mesmo ambiente.
Habilitar a configuração de proteção de administrador no nível da conta
Para determinar quais clusters em um workspace serão afetados por essa configuração, consulte Localizar todos os clusters compartilhados sem isolamento (incluindo modos de cluster herdados equivalentes).
Como administrador de conta, faça logon no Console da conta.
Importante
Se nenhum usuário em seu locatário do Microsoft Entra ID ainda tiver feito logon no console da conta, você ou outro usuário em seu locatário deverá fazer logon como o primeiro administrador da conta. Para fazer isso, você deve ser um Administrador Global do Microsoft Entra ID, mas somente quando fizer logon pela primeira vez no Console de Conta do Azure Databricks. Após o primeiro logon, você se torna um administrador de conta do Azure Databricks e não precisa mais da função de Administrador Global do Microsoft Entra ID para acessar a conta do Azure Databricks. Como primeiro administrador de conta, você pode atribuir usuários no locatário do Microsoft Entra ID como administradores de conta adicionais (que podem atribuir mais administradores de conta). Administradores de conta adicionais não exigem funções específicas no Microsoft Entra ID. Consulte Gerenciar usuários, entidades de serviço e grupos.
Clique em Configurações
.Clique na guia Habilitação de recursos.
Em Habilitar proteção de administrador para Clusters "Sem isolamento compartilhado", clique na configuração para habilitar ou desabilitar esse recurso.
- Se o recurso estiver habilitado, o Azure Databricks impedirá a geração automática de credenciais internas da API do Databricks para administradores do workspace do Databricks em clusters compartilhados sem isolamento.
- As alterações podem levar até dois minutos para entrar em vigor em todos os workspaces.
Limitações
Quando usados com clusters compartilhados sem isolamento ou com os modos de cluster herdados equivalentes, os seguintes recursos do Azure Databricks não funcionarão se você habilitar a proteção de administrador para clusters compartilhados sem isolamento em sua conta:
- Cargas de trabalho do Machine Learning Runtime.
- Arquivos do espaço de trabalho.
- Utilitário de segredos dbutils.
- Utilitário de Notebook dbutils.
- Operações do Delta Lake por administradores que criam, modificam ou atualizam dados.
Outros recursos podem não funcionar para usuários administradores nesse tipo de cluster, porque esses recursos dependem de credenciais internas geradas automaticamente.
Nesses casos, o Azure Databricks recomenda que os administradores realizem um dos seguintes procedimentos:
- Use um tipo de cluster diferente do tipo de cluster compartilhado sem isolamento ou dos seus tipos de cluster herdados equivalentes.
- Crie um usuário não administrador ao usar clusters sem isolamento compartilhado.
Encontre todos os clusters compartilhados sem isolamento (incluindo modos de cluster herdados equivalentes)
Você pode determinar quais clusters em um workspace são afetados por essa configuração de nível de conta.
Importe o notebook a seguir para todos os workspaces e execute o notebook.