Povolení ochrany správce pro clustery Bez izolace sdílených ve vašem účtu

Správci účtů můžou zabránit automatickému vygenerování interních přihlašovacích údajů pro správce pracovního prostoru Azure Databricks v clusterech Bez izolace sdílených clusterů. Žádné sdílené clustery izolace nejsou clustery, které mají rozevírací seznam Režim přístupu nastavený na Žádné sdílené izolace.

Důležité

Uživatelské rozhraní clusterů se nedávno změnilo. Nastavení režimu sdíleného přístupu bez izolace pro cluster se dříve zobrazovalo jako standardní režim clusteru. Pokud jste použili režim clusteru s vysokou souběžností bez dalších nastavení zabezpečení, jako je řízení přístupu k tabulce (seznamy ACL) nebo předávání přihlašovacích údajů, používají se stejná nastavení jako v režimu clusteru Standard. Nastavení správce na úrovni účtu, které tento článek popisuje, se týká režimu sdíleného přístupu bez izolace i ekvivalentních starších režimů clusteru. Porovnání starých uživatelských rozhraní a nových typů clusterů uživatelského rozhraní najdete v tématu Změny uživatelského rozhraní clusterů a režimy přístupu ke clusteru.

Ochrana správce pro sdílené clustery bez izolace ve vašem účtu pomáhá chránit účty správců před sdílením interních přihlašovacích údajů v prostředí, které je sdílené s ostatními uživateli. Povolení tohoto nastavení může mít vliv na úlohy, které spouští správci. Viz Omezení.

Žádné sdílené clustery izolace nespouštějí libovolný kód od více uživatelů ve stejném sdíleném prostředí, podobně jako v cloudovém virtuálním počítači, který se sdílí napříč více uživateli. Data nebo interní přihlašovací údaje zřízené pro toto prostředí můžou být přístupné pro jakýkoli kód spuštěný v daném prostředí. Pokud chcete volat rozhraní API Azure Databricks pro běžné operace, zřizují se přístupové tokeny jménem uživatelů k těmto clusterům. Pokud uživatel s vyšší úrovní oprávnění, například správce pracovního prostoru, spouští příkazy v clusteru, je jeho token s vyššími oprávněními viditelný ve stejném prostředí.

Můžete určit, které clustery v pracovním prostoru mají typy clusterů ovlivněné tímto nastavením. Viz Vyhledání všech sdílených clusterů bez izolace (včetně ekvivalentních starších režimů clusteru).

Kromě tohoto nastavení na úrovni účtu je k dispozici nastavení na úrovni pracovního prostoru s názvem Vynutit izolaci uživatelů. Správci účtu ho můžou povolit, aby zabránili vytvoření nebo spuštění typu přístupu ke clusteru bez izolace nebo odpovídajících starších typů clusteru.

Povolení nastavení ochrany na úrovni účtu

1. Jako správce účtu se přihlaste ke konzole účtu.

   Důležité

   Pokud se k konzole účtu ještě nepřihlásili žádní uživatelé vašeho tenanta Microsoft Entra ID (dříve Azure Active Directory), musíte se vy nebo jiný uživatel ve vašem tenantovi přihlásit jako první správce účtu. K tomu musíte být globální Správa istrator Microsoft Entra ID, ale pouze při prvním přihlášení ke konzole účtu Azure Databricks. Po prvním přihlášení se stanete správcem účtu Azure Databricks a už pro přístup k účtu Azure Databricks nepotřebujete roli globálního Správa istratoru Microsoft Entra ID. Jako první správce účtu můžete přiřadit uživatele v tenantovi Microsoft Entra ID jako další správce účtů (kteří sami můžou přiřadit více správců účtů). Další správci účtu nevyžadují v ID Microsoft Entra konkrétní role. Viz Správa uživatelů, instančních objektů a skupin.

2. Klikněte na příkaz Nastavení.

3. Klikněte na kartu Povolení funkce.

4. V části Povolit Správa Ochranu pro clustery Bez izolace sdílené klikněte na nastavení a tuto funkci povolte nebo zakažte.

   • Pokud je tato funkce povolená, Azure Databricks zabraňuje automatickému generování interních přihlašovacích údajů rozhraní Databricks API pro správce pracovních prostorů Databricks v clusterech Bez izolace.
   • Změny můžou trvat až dvě minuty, než se projeví ve všech pracovních prostorech.

Omezení

Pokud používáte bez sdílených clusterů izolace nebo ekvivalentních starších režimů clusteru, následující funkce Azure Databricks nefungují, pokud ve svém účtu povolíte ochranu správce pro sdílené clustery bez izolace:

• Úlohy modulu runtime Učení počítače
• Soubory pracovního prostoru
• dbutils Secrets utility.
• dbutils Notebook utility.
• Operace Delta Lake podle správců, kteří vytvářejí, upravují nebo aktualizují data.

U uživatelů s tímto typem clusteru nemusí fungovat jiné funkce, protože tyto funkce spoléhají na automaticky generované interní přihlašovací údaje.

V těchto případech Azure Databricks doporučuje, aby správci udělali jednu z těchto věcí:

• Použijte jiný typ clusteru, než je Žádná izolace sdílená nebo ekvivalentní starší typy clusteru.
• Vytvořte uživatele bez oprávnění správce při použití sdílených clusterů bez izolace.

Vyhledání všech sdílených clusterů bez izolace (včetně ekvivalentních starších režimů clusteru)

Toto nastavení na úrovni účtu ovlivňuje clustery v pracovním prostoru.

Naimportujte následující poznámkový blok do všech pracovních prostorů a spusťte ho.

Získání seznamu všech poznámkových bloků sdílených clusterů bez izolace

Získat poznámkový blok