Beheerbeveiliging inschakelen voor clusters zonder isolatie gedeelde clusters in uw account
Accountbeheerders kunnen voorkomen dat interne referenties automatisch worden gegenereerd voor Azure Databricks-werkruimtebeheerders in gedeelde clusters zonder isolatie. Geen isolatie gedeelde clusters zijn clusters waarvoor de vervolgkeuzelijst Toegangsmodus is ingesteld op Geen isolatie gedeeld.
Belangrijk
De gebruikersinterface van clusters is onlangs gewijzigd. De instelling Geen isolatie voor gedeelde toegang voor een cluster werd eerder weergegeven als de standaardclustermodus. Als u de clustermodus Hoge gelijktijdigheid hebt gebruikt zonder extra beveiligingsinstellingen, zoals toegangsbeheer voor tabellen (Tabel-ACL's) of referentiepassthrough, worden dezelfde instellingen gebruikt als bij de standaardclustermodus. De beheerdersinstelling op accountniveau die in dit artikel wordt besproken, is van toepassing op zowel de modus Geen isolatie gedeelde toegang als de equivalente verouderde clustermodi. Zie Voor een vergelijking van de oude ui- en nieuwe UI-clustertypen, wijzigingen in de gebruikersinterface van clusters en modi voor clustertoegang.
De beheerdersbeveiliging voor gedeelde clusters zonder isolatie in uw account helpt beheerdersaccounts te beschermen tegen het delen van interne referenties in een omgeving die wordt gedeeld met andere gebruikers. Het inschakelen van deze instelling kan van invloed zijn op workloads die worden uitgevoerd door beheerders. Zie beperkingen.
Geen isolatie gedeelde clusters voeren willekeurige code uit van meerdere gebruikers in dezelfde gedeelde omgeving, vergelijkbaar met wat er gebeurt op een virtuele cloudmachine die wordt gedeeld door meerdere gebruikers. Gegevens of interne referenties die voor die omgeving zijn ingericht, zijn mogelijk toegankelijk voor alle code die in die omgeving wordt uitgevoerd. Als u Azure Databricks-API's wilt aanroepen voor normale bewerkingen, worden toegangstokens ingericht namens gebruikers voor deze clusters. Wanneer een gebruiker met hogere bevoegdheden, zoals een werkruimtebeheerder, opdrachten uitvoert op een cluster, is het token met hogere bevoegdheden zichtbaar in dezelfde omgeving.
U kunt bepalen welke clusters in een werkruimte clustertypen hebben die worden beïnvloed door deze instelling. Zie Zoeken naar al uw gedeelde clusters zonder isolatie (inclusief equivalente verouderde clustermodi).
Naast deze instelling op accountniveau is er een instelling op werkruimteniveau met de naam Gebruikersisolatie afdwingen. Accountbeheerders kunnen dit inschakelen om te voorkomen dat een clustertoegangstype 'Geen isolatie gedeeld' of de bijbehorende verouderde clustertypen wordt gemaakt of gestart.
De instelling voor beheerdersbeveiliging op accountniveau inschakelen
Meld u als accountbeheerder aan bij de accountconsole.
Belangrijk
Als er nog geen gebruikers in uw Microsoft Entra ID-tenant (voorheen Azure Active Directory) zijn aangemeld bij de accountconsole, moeten u of een andere gebruiker in uw tenant zich aanmelden als de eerste accountbeheerder. Hiervoor moet u een Microsoft Entra ID Global Beheer istrator zijn, maar alleen wanneer u zich voor het eerst aanmeldt bij de Azure Databricks-accountconsole. Bij de eerste aanmelding wordt u een Azure Databricks-accountbeheerder en hebt u de rol Microsoft Entra ID Global Beheer istrator niet meer nodig om toegang te krijgen tot het Azure Databricks-account. Als eerste accountbeheerder kunt u gebruikers in de Microsoft Entra ID-tenant toewijzen als extra accountbeheerders (die zelf meer accountbeheerders kunnen toewijzen). Voor extra accountbeheerders zijn geen specifieke rollen in Microsoft Entra ID vereist. Zie Gebruikers, service-principals en groepen beheren.
Klik op instellingen
.Klik op het tabblad Functie-inschakeling .
Klik onder Beheer Protection for No Isolation Shared Clusters op de instelling om deze functie in of uit te schakelen.
- Als de functie is ingeschakeld, voorkomt Azure Databricks dat interne referenties voor de Databricks-API automatisch worden gegenereerd voor databricks-werkruimtebeheerders op gedeelde clusters zonder isolatie.
- Het kan tot twee minuten duren voordat wijzigingen van kracht zijn voor alle werkruimten.
Beperkingen
Wanneer u gebruikmaakt van gedeelde clusters zonder isolatie of de equivalente verouderde clustermodi, werken de volgende Azure Databricks-functies niet als u beheerdersbeveiliging inschakelt voor gedeelde clusters zonder isolatie in uw account:
- Machine Learning Runtime-workloads .
- Werkruimtebestanden.
- dbutils Secrets utility.
- dbutils Notebook-hulpprogramma.
- Delta Lake-bewerkingen door beheerders die gegevens maken, wijzigen of bijwerken.
Andere functies werken mogelijk niet voor beheerders van dit clustertype, omdat deze functies afhankelijk zijn van automatisch gegenereerde interne referenties.
In die gevallen raadt Azure Databricks beheerders aan een van de volgende handelingen uit te voeren:
- Gebruik een ander clustertype dan 'Geen isolatie gedeeld' of de equivalente verouderde clustertypen.
- Maak een niet-beheerdersgebruiker wanneer u geen gedeelde clusters met isolatie gebruikt.
Zoek al uw gedeelde clusters zonder isolatie (inclusief equivalente verouderde clustermodi)
U kunt bepalen welke clusters in een werkruimte worden beïnvloed door deze instelling op accountniveau.
Importeer het volgende notebook in al uw werkruimten en voer het notebook uit.
Een lijst met alle gedeelde clusters zonder isolatie ophalen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor