Rendszergazdai védelem engedélyezése a fiókon lévő "Nincs elkülönítés megosztott" fürtökhöz
A fiókadminisztrátorokkal megakadályozhatja, hogy a belső hitelesítő adatok automatikusan létrejönnek az Azure Databricks-munkaterület rendszergazdái számára a nem elkülönített megosztott fürtökön. A megosztott elkülönítési fürtök nem azok a fürtök, amelyek hozzáférési mód legördülő listája nincs megosztva az elkülönítés nélkül beállításával.
Fontos
A fürtök felhasználói felülete nemrég módosult. A fürt nincs elkülönítési megosztott hozzáférési módbeállítása korábban Standard fürtmódként jelent meg. Ha a magas egyidejűségi fürtmódot további biztonsági beállítások, például táblahozzáférés-vezérlés (table ACL) vagy hitelesítő adatok átengedése nélkül használta, ugyanazokat a beállításokat használja, mint a Standard fürtmód esetében. A jelen cikk által tárgyalt fiókszintű rendszergazdai beállítás a Nincs elkülönítés megosztott hozzáférési módra és az azzal egyenértékű örökölt fürtmódokra is vonatkozik. A régi felhasználói felület és az új felhasználói felületi fürttípusok összehasonlításához tekintse meg a fürtök felhasználói felületének változásait és a fürthozzáférés módjait.
A fiók nem elkülönített megosztott fürtjeinek rendszergazdai védelme segít megvédeni a rendszergazdai fiókokat a más felhasználókkal megosztott környezetben lévő belső hitelesítő adatok megosztásától. A beállítás engedélyezése hatással lehet a rendszergazdák által futtatott számítási feladatokra. Lásd: Korlátozások.
A megosztott elkülönítési fürtök nem futtatnak tetszőleges kódot több felhasználótól ugyanabban a megosztott környezetben, hasonlóan ahhoz, mint ami egy több felhasználó által megosztott felhőbeli virtuális gépen történik. Az adott környezetben kiosztott adatok vagy belső hitelesítő adatok elérhetők lehetnek az adott környezetben futó bármely kódhoz. Az Azure Databricks API-k normál műveletekhez való meghívásához a hozzáférési jogkivonatok a felhasználók nevében vannak kiépítve ezekhez a fürtökhöz. Ha egy magasabb jogosultságú felhasználó, például egy munkaterület rendszergazdája parancsokat futtat egy fürtön, a magasabb jogosultságú jogkivonata ugyanabban a környezetben látható.
Meghatározhatja, hogy a munkaterület mely fürtjeihez tartoznak a beállítás által érintett fürttípusok. Lásd: Az összes elkülönítés nélküli megosztott fürt megkeresése (beleértve az ezzel egyenértékű régi fürtmódokat is).
A fiókszintű beállítás mellett van egy munkaterületszintű beállítás is, amelynek a neve: Felhasználói elkülönítés kényszerítése. A fiókadminisztrátorokkal megakadályozhatja az "Elkülönítés nélkül megosztott" fürthozzáférés-típus vagy az azzal egyenértékű örökölt fürttípusok létrehozását vagy elindítását.
A fiókszintű rendszergazdai védelem beállításának engedélyezése
Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
Fontos
Ha a Microsoft Entra-azonosító (korábbi nevén Azure Active Directory) bérlő egyik felhasználója sem jelentkezett be még a fiókkonzolra, Önnek vagy a bérlő egy másik felhasználójának be kell jelentkeznie első fiókadminisztrátorként. Ehhez Microsoft Entra-azonosítójú globális Rendszergazda istratornak kell lennie, de csak akkor, ha először jelentkezik be az Azure Databricks-fiókkonzolra. Az első bejelentkezéskor Azure Databricks-fiókadminisztrátor lesz, és már nincs szüksége a Microsoft Entra ID Global Rendszergazda istrator szerepkörre az Azure Databricks-fiók eléréséhez. Első fiókadminisztrátorként további fiókadminisztrátorként további fiókadminisztrátorokat rendelhet a Microsoft Entra ID-bérlőhöz (akik maguk is hozzárendelhetnek további fiókadminisztrátorokat). A további fiókadminisztrátoroknak nincs szükségük meghatározott szerepkörökre a Microsoft Entra-azonosítóban. Lásd: Felhasználók, szolgáltatásnevek és csoportok kezelése.
Kattintson a Beállítások
elemre.Kattintson a Funkció engedélyezése fülre .
Az "Elkülönítés nélkül megosztott" fürtök Rendszergazda védelem engedélyezése csoportban kattintson a beállításra a funkció engedélyezéséhez vagy letiltásához.
- Ha a funkció engedélyezve van, az Azure Databricks megakadályozza a Databricks API belső hitelesítő adatainak automatikus létrehozását a Databricks-munkaterület rendszergazdái számára a nem elkülönített megosztott fürtökön.
- A módosítások érvénybe lépése az összes munkaterületen akár két percet is igénybe vehet.
Korlátozások
Megosztott elkülönítés nélküli fürtökkel vagy az ezzel egyenértékű örökölt fürtmódokkal való használat esetén az alábbi Azure Databricks-funkciók nem működnek, ha engedélyezi a rendszergazdai védelmet a fiókon nem elkülönített megosztott fürtök esetében:
- Gépi Tanulás futtatókörnyezeti számítási feladatok.
- Munkaterület-fájlok.
- dbutils Secrets segédprogram.
- dbutils Notebook segédprogram.
- Delta Lake-műveletek olyan rendszergazdáktól, amelyek adatokat hoznak létre, módosítanak vagy frissítenek.
Előfordulhat, hogy más funkciók nem működnek ebben a fürttípusban a rendszergazdai felhasználók számára, mert ezek a funkciók automatikusan létrehozott belső hitelesítő adatokra támaszkodnak.
Ezekben az esetekben az Azure Databricks az alábbiak egyikét javasolja a rendszergazdáknak:
- Használjon más fürttípust, mint a "Nincs elkülönítés megosztva" vagy az azzal egyenértékű örökölt fürttípusok.
- Nem rendszergazdai felhasználó létrehozása elkülönítés nélküli megosztott fürtök használatakor.
Az összes nem elkülönített megosztott fürt megkeresése (beleértve az ezzel egyenértékű régi fürtmódokat is)
Meghatározhatja, hogy egy munkaterület mely fürtjeire van hatással ez a fiókszintű beállítás.
Importálja az alábbi jegyzetfüzetet az összes munkaterületre, és futtassa a jegyzetfüzetet.
Az elkülönítés nélküli megosztott fürtök jegyzetfüzetének lekérése
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: