Freigeben über


Aktivieren von Administratorschutz für „Keine freigegebene Isolation“-Cluster in Ihrem Konto

Kontoadministratoren können verhindern, dass interne Anmeldeinformationen automatisch für Azure Databricks-Arbeitsbereichsadministratoren von „Keine freigegebene Isolation“-Clustern generiert werden. „Keine freigegebene Isolation“-Cluster sind Cluster, für die in der Dropdownliste Zugriffsmodus die Option Keine freigegebene Isolation festgelegt ist.

Wichtig

Die Benutzeroberfläche der Cluster hat sich kürzlich geändert. Die Einstallung des Zugriffsmodus „Keine freigegebene Isolation“ für einen Cluster wurde zuvor als Standardclustermodus angezeigt. Wenn Sie den Clustermodus „Hohe Parallelität“ ohne zusätzliche Sicherheitseinstellungen wie Tabellenzugriffssteuerung (Tabellen-ACLs) oder Passthrough für Anmeldeinformationen verwendet haben, werden dieselben Einstellungen wie im Standardclustermodus verwendet. Die Administratoreinstellung auf Kontoebene, die in diesem Artikel besprochen wird, gilt sowohl für den Zugriffsmodus „Keine freigegebene Isolation“ als auch für seine entsprechenden Legacyclustermodi. Einen Vergleich der Clustertypen der alten Benutzeroberfläche mit denen der neuen Benutzeroberfläche finden Sie unter Änderungen an der Clusterbenutzeroberfläche und Clusterzugriffsmodi.

Der Administratorschutz für „Keine freigegebene Isolation“-Cluster in Ihrem Konto hilft, Administratorkonten vor der Freigabe interner Anmeldeinformationen in einer Umgebung zu schützen, die für andere Benutzer freigegeben ist. Die Aktivierung dieser Einstellung kann sich auf Workloads auswirken, die von Administratoren ausgeführt werden. Informationen finden Sie unter Einschränkungen.

„Keine freigegebene Isolation“-Cluster führen beliebigen Code von mehreren Benutzern in derselben freigegebenen Umgebung aus, ähnlich wie bei einem virtuellen Cloudcomputer, der von mehreren Benutzer gemeinsam genutzt wird. Daten oder interne Anmeldeinformationen, die für diese Umgebung bereitgestellt werden, können für jeden Code, der in dieser Umgebung ausgeführt wird, zugänglich sein. Um Azure Databricks-APIs für normale Vorgänge aufzurufen, werden Zugriffstoken im Auftrag von Benutzern für diese Cluster bereitgestellt. Wenn ein Benutzer mit höheren Rechten, z. B. ein Arbeitsbereichsadministrator, Befehle auf einem Cluster ausführt, ist dessen Token mit höheren Rechten in derselben Umgebung sichtbar.

Sie können bestimmen, welche Cluster in einem Arbeitsbereich Clustertypen besitzen, die von dieser Einstellung betroffen sind. Weitere Informationen finden Sie unter Suchen aller Ihrer „Keine freigegebene Isolation“-Cluster (einschließlich gleichwertiger Legacyclustermodi).

Zusätzlich zu dieser Einstellung auf Kontoebene gibt es eine Einstellung auf Arbeitsbereichsebene mit dem Namen „Benutzerisolation erzwingen“. Kontoadministratoren können diese Einstellung aktivieren, um das Erstellen oder Starten des Clusterzugriffstyps „Keine Isolation, freigegeben“ oder der entsprechenden Legacyclustertypen zu verhindern.

Aktivieren der Einstellung für den Administratorschutz auf Kontoebene

  1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.

    Wichtig

    Wenn sich keine Benutzer in Ihrem Microsoft Entra ID-Mandanten bei der Kontokonsole angemeldet haben, müssen Sie oder ein anderer Benutzer in Ihrem Mandanten sich als erster Kontoadministrator anmelden. Dazu müssen Sie ein globaler Microsoft Entra ID-Administrator sein, aber nur, wenn Sie sich zum ersten Mal bei der Azure Databricks-Kontokonsole anmelden. Bei der ersten Anmeldung werden Sie zu einem Azure Databricks-Kontoadministrator und benötigt nicht mehr die Rolle „Globaler Microsoft Entra ID-Administrator“, um auf das Azure Databricks-Konto zuzugreifen. Als erster Kontoadministrator können Sie Benutzer im Microsoft Entra ID-Mandanten als zusätzliche Kontoadministratoren zuweisen (die ihrerseits weitere Kontoadministratoren zuweisen können). Für zusätzliche Kontoadministratoren sind keine speziellen Rollen in Microsoft Entra ID erforderlich. Siehe Verwalten von Benutzern, Dienstprinzipalen und Gruppen.

  2. Klicken Sie auf Einstellungen Symbol „Einstellungen“.

  3. Klicken Sie auf die Registerkarte Featureaktivierung.

  4. Klicken Sie unter Administratorschutz für „Keine freigegebene Isolation“-Cluster auf die Einstellung, um dieses Feature zu aktivieren oder zu deaktivieren.

    • Wenn das Feature aktiviert ist, verhindert Azure Databricks die automatische Generierung von Databricks-API-internen Anmeldeinformationen für Databricks-Arbeitsbereichsadministratoren von „Keine freigegebene Isolation“-Clustern.
    • Es kann bis zu zwei Minuten dauern, bis Änderungen in allen Arbeitsbereichen wirksam werden.

Einschränkungen

Wenn die folgenden Azure Databricks-Features mit „Keine freigegebene Isolation“-Clustern oder den entsprechenden Legacyclustermodi verwendet werden, funktionieren sie nicht, wenn Sie den Administratorschutz für „Keine freigegebene Isolation“-Cluster in Ihrem Konto aktivieren:

Andere Features funktionieren möglicherweise auch nicht für Administratorbenutzer in diesem Clustertyp, weil diese Features auf automatisch generierten internen Anmeldeinformationen basieren.

In diesen Fällen empfiehlt Azure Databricks, dass Administratoren eine der folgenden Aktionen ausführen:

  • Verwenden Sie einen anderen Clustertyp als „Keine Isolation, freigegeben“ oder die entsprechenden Legacy-Clustertypen.
  • Erstellen eines Nichtadministratorbenutzers, wenn „Keine freigegebene Isolation“-Cluster verwendet werden.

Suchen aller Ihrer „Keine freigegebene Isolation“-Cluster (einschließlich gleichwertiger Legacyclustermodi)

Sie können bestimmen, welche Cluster in einem Arbeitsbereich von dieser Einstellung auf Kontoebene betroffen sind.

Importieren Sie das folgende Notebook in alle Arbeitsbereiche, und führen Sie es aus.

Abrufen einer Liste aller „Keine freigegebene Isolation“-Cluster im Notebook

Notebook abrufen