Share via

アカウントで "分離共有なし" クラスターの管理者保護を有効にする

  • [アーティクル]

アカウント管理者は、非分離共有クラスターで Azure Databricks ワークスペース管理者の内部資格情報が自動的に生成されないようにすることができます。 分離共有クラスターは、[アクセス モード] ドロップダウンが [分離共有なし] に設定されているクラスターです。

重要

クラスター UI が最近変更されました。 クラスターの分離なし共有アクセス モード設定は、以前は Standard クラスター モードとして表示されました。 テーブル アクセス コントロール (テーブル ACL)資格情報のパススルーなどの追加のセキュリティ設定を行わずに高同時実行クラスタ モードを使用した場合、標準クラスタ モードと同じ設定が使用されます。 この記事で説明するアカウント レベルの管理者設定は、分離なし共有アクセス モードと同等のレガシ クラスター モードの両方に適用されます。 古い UI と新しい UI クラスタ タイプの比較については、クラスタ UI の変更とクラスタ アクセス モードをご覧ください。

アカウントの非分離共有クラスターの管理者保護は、管理者アカウントが他のユーザーと共有されている環境で内部資格情報を共有するのを防ぐのに役立ちます。 この設定を有効にすると、管理者が実行するワークロードに影響する可能性があります。 「制限事項」を参照してください。

分離共有クラスターは、複数のユーザー間で共有されるクラウド仮想マシンで行われるのと同様に、同じ共有環境の複数のユーザーから任意のコードを実行しません。 その環境にプロビジョニングされたデータまたは内部資格情報は、その環境内で実行されている任意のコードからアクセスできる場合があります。 通常の操作のために Azure Databricks API を呼び出すには、これらのクラスターに対するユーザーに代わってアクセス トークンがプロビジョニングされます。 ワークスペース管理者などの高い特権を持つユーザーがクラスターでコマンドを実行すると、その高い特権トークンが同じ環境に表示されます。

この設定の影響を受けるクラスターの種類を持つワークスペース内のクラスターを決定できます。 「分離なし共有クラスターをすべて検索する (同等のレガシ クラスター モードを含む)」を参照してください。

このアカウント レベルの設定に加えて、 ユーザー分離の適用と呼ばれるワークスペース レベルの設定があります。 アカウント管理者はこれを有効にして、「分離なし共有」クラスター アクセス型または同等のレガシ クラスター型を使用してクラスターを作成または開始できないようにすることができます。

アカウント レベルの管理者保護設定を有効にする

  1. アカウント管理者として、アカウント コンソールにログインします。

    重要

    Microsoft Entra ID (旧称 Azure Active Directory) テナントのユーザーがまだアカウント コンソールにログインしていない場合、あなたかテナント内の別のユーザーが最初のアカウント管理者としてログインする必要があります。これを行うには、Microsoft Entra ID グローバル管理者になる必要がありますが、Azure Databricks Account Console に初めてログインしたときだけです。 最初のログイン時に、ユーザーは Azure Databricks アカウント管理者になり、Azure Databricks アカウントにアクセスするためには、Microsoft Entra ID 全体管理者の役割は不要になります。 最初のアカウント管理者は、Microsoft Entra ID テナントのユーザーを追加のアカウント管理者として割り当てることができます (このユーザー自身がアカウント管理者をさらに割り当てることができます)。 追加のアカウント管理者は、Microsoft Entra ID で特定のロールを必要としません。 「ユーザー、サービス プリンシパル、グループを構成する」を参照してください。

  2. [設定][設定] アイコンをクリックします。

  3. [機能の有効化] タブをクリックします。

  4. [分離共有なし] クラスターの [管理保護を有効にする] で、この機能を有効または無効にする設定をクリックします。

    • この機能が有効になっている場合、Azure Databricks では、分離共有クラスターなしの Databricks ワークスペース管理者に対する Databricks API 内部資格情報の自動生成が防止されます。
    • 変更がすべてのワークスペースに反映されるまでに最大 2 分かかる場合があります。

制限事項

分離共有クラスターなしまたは同等の従来のクラスター モードで使用する場合、アカウントで分離共有クラスターなしの管理保護を有効にした場合、次の Azure Databricks 機能は機能しません。

これらの機能は自動的に生成された内部資格情報に依存するため、このクラスターの種類の管理者ユーザーには他の機能が機能しない場合があります。

このような場合、Azure Databricks では、管理者が次のいずれかの操作を行うことをお勧めします。

  • 「分離共有なし」または同等のレガシ クラスター型以外の別のクラスターの種類を使用します。
  • 分離共有クラスターを使用しない場合は、管理者以外のユーザーを作成します。

分離なし共有クラスターをすべて検索する (同等のレガシ クラスター モードを含む)

このアカウント レベルの設定の影響を受けるワークスペース内のクラスターを決定できます。

次のノートブックをすべてのワークスペースにインポートし、ノートブックを実行します。

すべての分離なし共有クラスター ノートブックの一覧を取得する

ノートブックを入手