Abilitare la protezione dell'amministratore per i cluster "Nessun isolamento condiviso" nell'account
Gli amministratori degli account possono impedire la generazione automatica delle credenziali interne per gli amministratori dell'area di lavoro di Azure Databricks in cluster condivisi senza isolamento. Nessun cluster condiviso di isolamento è un cluster per cui l'elenco a discesa Modalità di accesso è impostato su Nessun isolamento condiviso.
Importante
L'interfaccia utente dei cluster è stata modificata di recente. L'impostazione Nessun isolamento modalità di accesso condiviso per un cluster in precedenza compariva come modalità cluster standard. Se è stata usata la modalità cluster a concorrenza elevata senza impostazioni di sicurezza aggiuntive, ad esempio il controllo di accesso alle tabelle (ACL tabella) o il pass-through delle credenziali, le stesse impostazioni vengono usate con la modalità cluster standard. L'impostazione amministratore a livello di account descritta in questo articolo si applica sia alla modalità di accesso condiviso Nessun isolamento che alle modalità cluster legacy equivalenti. Per un confronto tra l'interfaccia utente precedente e i nuovi tipi di cluster dell'interfaccia utente, vedere Modifiche dell'interfaccia utente dei cluster e modalità di accesso al cluster.
La protezione dell'amministratore per i cluster condivisi senza isolamento nell'account consente di proteggere gli account amministratore dalla condivisione di credenziali interne in un ambiente condiviso con altri utenti. L'abilitazione di questa impostazione può influire sui carichi di lavoro eseguiti dagli amministratori. Vedere Limitazioni.
Nessun cluster condiviso di isolamento esegue codice arbitrario da più utenti nello stesso ambiente condiviso, simile a quello che accade in una macchina virtuale cloud condivisa tra più utenti. I dati o le credenziali interne di cui è stato effettuato il provisioning in tale ambiente potrebbero essere accessibili a qualsiasi codice in esecuzione all'interno di tale ambiente. Per richiamare le API di Azure Databricks per le normali operazioni, viene effettuato il provisioning dei token di accesso per conto degli utenti a questi cluster. Quando un utente con privilegi più elevati, ad esempio un amministratore dell'area di lavoro, esegue comandi in un cluster, il token con privilegi più elevati è visibile nello stesso ambiente.
È possibile determinare quali cluster in un'area di lavoro abbiano tipi di cluster interessati da questa impostazione. Vedere Trovare tutti i cluster Nessun isolamento condiviso, incluse le modalità di cluster legacy equivalenti.
Oltre a questa impostazione a livello di account, è disponibile un'impostazione a livello di area di lavoro denominata Imponi isolamento utente. Gli amministratori dell'account possono abilitarlo per impedire la creazione o l'avvio di un tipo di accesso cluster "Nessun isolamento condiviso" o i relativi tipi di cluster legacy equivalenti.
Abilitare l'impostazione di protezione amministratore a livello di account
Come amministratore dell'account, accedere alla console dell’account.
Importante
Se nessun utente nel tenant di Microsoft Entra ID ha ancora eseguito l'accesso alla console dell'account, l'utente o un altro utente nel tenant deve accedere come primo amministratore dell'account. A tale scopo, è necessario essere un amministratore globale di Microsoft Entra ID, ma solo quando si accede per la prima volta alla console dell'account di Azure Databricks. Al primo accesso, si diventa un amministratore dell'account Azure Databricks e non è più necessario il ruolo di amministratore globale di Microsoft Entra ID, per accedere all'account Azure Databricks. Come primo amministratore dell'account, è possibile assegnare gli utenti nel tenant di Microsoft Entra ID come amministratori di account aggiuntivi (che possono assegnare più amministratori all’account). Gli amministratori dell'account aggiuntivi non richiedono ruoli specifici in Microsoft Entra ID. Vedere Gestire utenti, entità servizio e gruppi.
Fare clic su Impostazioni
.Fare clic sulla scheda Abilitazione funzionalità.
In Abilita protezione amministratore per i cluster "Nessun isolamento condiviso", fare clic sull'impostazione per abilitare o disabilitare questa funzionalità.
- Se la funzionalità è abilitata, Azure Databricks impedisce la generazione automatica delle credenziali interne dell'API Databricks per gli amministratori dell'area di lavoro di Databricks nei cluster senza isolamento condiviso.
- Le modifiche possono richiedere fino a due minuti per avere effetto su tutte le aree di lavoro.
Limiti
Se usato con cluster condivisi senza isolamento o con le modalità cluster legacy equivalenti, le funzionalità di Azure Databricks seguenti non funzionano, quando si abilita la protezione dell'amministratore per i cluster condivisi senza isolamento nell'account:
- Carichi di lavoro del runtime di Machine Learning.
- File dell'area di lavoro.
- Utilità segreti dbutils.
- Utilità Notebook dbutils.
- Operazioni Delta Lake da parte di amministratori che creano, modificano o aggiornano i dati.
Altre funzionalità potrebbero non funzionare per gli utenti amministratori in questo tipo di cluster, poiché queste funzionalità si basano su credenziali interne generate automaticamente.
In questi casi, Azure Databricks consiglia agli amministratori di eseguire una delle operazioni seguenti:
- Usare un tipo di cluster diverso da "Nessun isolamento condiviso" o dai relativi tipi di cluster legacy equivalenti.
- Creare un utente non amministratore quando si usano cluster condivisi senza isolamento.
Trovare tutti i cluster Nessun isolamento condiviso, incluse le modalità di cluster legacy equivalenti
È possibile determinare quali cluster in un'area di lavoro siano interessati da questa impostazione a livello di account.
Importare il Notebook seguente in tutte le aree di lavoro ed eseguire il Notebook.