本页介绍了帐户管理员如何使用帐户级设置来防止在无隔离共享群集上为 Azure Databricks 工作区管理员自动生成内部凭据。
帐户的无隔离共享群集管理员保护有助于防止管理员帐户在与其他用户共享的环境中共享内部凭据。 启用此设置可能会影响管理员运行的工作负载。 请参阅限制。
什么是无隔离共享群集?
没有隔离共享群集是使用旧访问模式的计算资源 ,没有共享隔离。
无隔离共享群集在同一共享环境中运行来自多个用户的任意代码,这与在多个用户之间共享的云虚拟机类似。 在该环境中运行的任何代码都可以访问预配到该环境的数据或内部凭据。
若要为正常操作调用 Azure Databricks API,请以用户身份将访问令牌预配到这些群集。 当具有较高特权的用户(如工作区管理员)在群集上运行命令时,其较高特权令牌在同一环境中可见。
启用帐户级管理员保护设置
若要确定工作区中的哪些群集将受到此设置的影响,请参阅查找所有没有隔离共享群集(包括等效的旧群集模式)。
以帐户管理员身份登录到帐户控制台。
重要
如果 Microsoft Entra ID 租户中没有用户登录到帐户控制台,则你或租户中的其他用户必须作为第一个帐户管理员登录。为此,你必须成为 Microsoft Entra ID 全局管理员,但仅当你首次登录到 Azure Databricks 帐户控制台时才需要这样做。 首次登录时,你将成为 Azure Databricks 帐户管理员,并且不再需要使用 Microsoft Entra ID 全局管理员角色来访问 Azure Databricks 帐户。 第一个帐户管理员可以将 Microsoft Entra ID 租户中的用户分配为其他帐户管理员(他们可以自行分配更多的帐户管理员)。 其他帐户管理员不需要 Microsoft Entra ID 中的特定角色。 请参阅管理用户、服务主体和组。
单击“设置”
。单击“功能启用”选项卡。
在“为‘无隔离共享’群集启用管理员保护”下,单击设置以启用或禁用此功能。
- 如果启用了该功能,Azure Databricks 会阻止在无隔离共享群集上为 Databricks 工作区管理员自动生成 Databricks API 内部凭据。
- 更改可能需要 2 分钟才能在所有工作区中生效。
限制
在没有隔离共享群集或等效的旧群集模式下使用时,如果为帐户上没有隔离共享群集启用管理员保护,则以下 Azure Databricks 功能不起作用:
- 机器学习运行时工作负载。
- 工作区文件。
- dbutils 机密实用工具。
- dbutils 笔记本实用工具。
- Delta Lake 操作由创建、修改或更新数据的管理员完成。
其他功能可能不适用于此群集类型的管理员用户,因为这些功能需要使用自动生成的内部凭据。
在这种情况下,Azure Databricks 建议管理员执行以下操作之一:
- 使用非无隔离共享或其等效旧版群集类型的不同群集类型。
- 不使用隔离共享群集时创建非管理员用户。
查找所有无隔离的共享群集(包括等效的旧群集模式)
可以确定工作区中的哪些群集受此帐户级设置的影响。
将以下笔记本导入所有工作区,并运行该笔记本。