Habilite a proteção de administrador para clusters "Sem isolamento compartilhado" em sua conta
Os administradores de conta podem impedir que credenciais internas sejam geradas automaticamente para administradores de espaço de trabalho do Azure Databricks em clusters Sem Isolamento Compartilhado. Sem Isolamento Os clusters partilhados são clusters que têm o menu pendente Modo de acesso definido como Sem isolamento partilhado.
Importante
A interface do usuário dos clusters foi alterada recentemente. A configuração do modo de acesso compartilhado Sem Isolamento para um cluster apareceu anteriormente como o modo de cluster Padrão. Se você usou o modo de cluster de alta simultaneidade sem configurações de segurança adicionais, como controle de acesso à tabela (ACLs de tabela) ou passagem de credenciais, as mesmas configurações serão usadas no modo de cluster padrão. A configuração de administrador no nível da conta abordada neste artigo aplica-se ao modo de acesso compartilhado Sem Isolamento e aos modos de cluster herdados equivalentes. Para obter uma comparação entre a interface do usuário antiga e os novos tipos de cluster de interface do usuário, consulte Alterações da interface do usuário de clusters e modos de acesso ao cluster.
A proteção de administrador para clusters compartilhados sem isolamento em sua conta ajuda a proteger as contas de administrador contra o compartilhamento de credenciais internas em um ambiente compartilhado com outros usuários. Habilitar essa configuração pode afetar as cargas de trabalho executadas por administradores. Consulte Limitações.
Sem isolamento Os clusters compartilhados executam código arbitrário de vários usuários no mesmo ambiente compartilhado, semelhante ao que acontece em uma máquina virtual em nuvem que é compartilhada entre vários usuários. Os dados ou credenciais internas provisionados para esse ambiente podem estar acessíveis a qualquer código em execução nesse ambiente. Para chamar APIs do Azure Databricks para operações normais, os tokens de acesso são provisionados em nome dos usuários para esses clusters. Quando um usuário com privilégios mais altos, como um administrador de espaço de trabalho, executa comandos em um cluster, seu token com privilégios mais altos fica visível no mesmo ambiente.
Você pode determinar quais clusters em um espaço de trabalho têm tipos de cluster que são afetados por essa configuração. Consulte Localizar todos os clusters compartilhados sem isolamento (incluindo modos de cluster herdados equivalentes).
Além dessa configuração no nível da conta, há uma configuração no nível do espaço de trabalho chamada Impor Isolamento do Usuário. Os administradores de conta podem habilitá-lo para impedir a criação ou o início de um tipo de acesso a cluster "Sem isolamento compartilhado" ou seus tipos de cluster herdados equivalentes.
Ativar a configuração de proteção de administrador no nível da conta
Como administrador de conta, inicie sessão na Consola de Conta.
Importante
Se nenhum utilizador no seu inquilino do Microsoft Entra ID (anteriormente Azure Ative Directory) tiver ainda iniciado sessão na consola da conta, você ou outro utilizador no seu inquilino tem de iniciar sessão como o primeiro administrador da conta. Para fazer isso, você deve ser um Administrador Global do Microsoft Entra ID, mas somente quando fizer logon pela primeira vez no Console de Conta do Azure Databricks. Após o primeiro login, você se torna um administrador de conta do Azure Databricks e não precisa mais da função de Administrador Global do Microsoft Entra ID para acessar a conta do Azure Databricks. Como primeiro administrador de conta, você pode atribuir usuários no locatário do Microsoft Entra ID como administradores de conta adicionais (que podem atribuir mais administradores de conta). Os administradores de conta adicionais não exigem funções específicas no Microsoft Entra ID. Consulte Gerenciar usuários, entidades de serviço e grupos.
Clique em Definições
.Clique na guia Ativação de recursos.
Em Ativar Proteção de Administrador para Clusters "Sem Isolamento Partilhado", clique na definição para ativar ou desativar esta funcionalidade.
- Se o recurso estiver habilitado, o Azure Databricks impedirá a geração automática de credenciais internas da API do Databricks para administradores de espaço de trabalho do Databricks em clusters sem isolamento compartilhado.
- As alterações podem levar até dois minutos para entrar em vigor em todos os espaços de trabalho.
Limitações
Quando usado com clusters Sem Isolamento Compartilhado ou os modos de cluster herdados equivalentes, os seguintes recursos do Azure Databricks não funcionarão se você habilitar a proteção de administrador para clusters Sem Isolamento Compartilhado em sua conta:
- Cargas de trabalho do Machine Learning Runtime .
- Arquivos de espaço de trabalho.
- dbutils Secrets utilitário.
- dbutils Notebook utilitário.
- Operações Delta Lake por administradores que criam, modificam ou atualizam dados.
Outros recursos podem não funcionar para usuários administradores nesse tipo de cluster porque esses recursos dependem de credenciais internas geradas automaticamente.
Nesses casos, o Azure Databricks recomenda que os administradores sigam um destes procedimentos:
- Use um tipo de cluster diferente de "Nenhum isolamento compartilhado" ou seus tipos de cluster herdados equivalentes.
- Crie um usuário não administrador ao usar clusters compartilhados sem isolamento.
Encontre todos os seus clusters compartilhados sem isolamento (incluindo modos de cluster herdados equivalentes)
Você pode determinar quais clusters em um espaço de trabalho são afetados por essa configuração no nível da conta.
Importe o seguinte bloco de notas para todas as suas áreas de trabalho e execute-o.
Obter uma lista de todos os blocos de notas de clusters partilhados Sem Isolamento
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários