Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página descreve como os administradores de conta podem usar uma configuração no nível da conta para impedir que credenciais internas sejam geradas automaticamente para administradores de espaço de trabalho do Azure Databricks em clusters compartilhados sem isolamento.
Observação
Os administradores de espaço de trabalho podem usar a configuração Impor isolamento do usuário para desabilitar o uso de clusters compartilhados sem isolamento em um espaço de trabalho.
Os administradores de conta não podem desativar clusters compartilhados de isolamento em todos os novos espaços de trabalho usando a configuração Desabilitar recursos herdados .
A proteção de administrador para clusters compartilhados sem isolamento em sua conta ajuda a proteger as contas de administrador contra o compartilhamento de credenciais internas em um ambiente compartilhado com outros usuários. Habilitar essa configuração pode afetar as cargas de trabalho executadas por administradores. Consulte Limitações.
O que não são clusters compartilhados de isolamento?
Nenhum cluster compartilhado de isolamento são recursos de computação que usam o modo de acesso herdado Nenhum isolamento compartilhado.
Sem isolamento Os clusters compartilhados executam código arbitrário de vários usuários no mesmo ambiente compartilhado, semelhante ao que acontece em uma máquina virtual em nuvem que é compartilhada entre vários usuários. Os dados ou credenciais internas provisionados para esse ambiente podem estar acessíveis a qualquer código em execução nesse ambiente.
Para chamar APIs do Azure Databricks para operações normais, os tokens de acesso são provisionados em nome dos usuários para esses clusters. Quando um usuário com privilégios mais altos, como um administrador de espaço de trabalho, executa comandos em um cluster, seu token com privilégios mais altos fica visível no mesmo ambiente.
Ativar a configuração de proteção de administrador no nível da conta
Para determinar quais clusters em um espaço de trabalho serão afetados por essa configuração, consulte Localizar todos os clusters compartilhados sem isolamento (incluindo modos de cluster herdados equivalentes).
Como administrador de conta, inicie sessão na Consola de Conta.
Importante
Se nenhum utilizador no seu inquilino do Microsoft Entra ID tiver ainda iniciado sessão na consola da conta, você ou outro utilizador no seu inquilino tem de iniciar sessão como o primeiro administrador da conta. Para fazer isso, você deve ser um Administrador Global do Microsoft Entra ID, mas somente quando fizer logon pela primeira vez no Console de Conta do Azure Databricks. Após o primeiro login, você se torna um administrador de conta do Azure Databricks e não precisa mais da função de Administrador Global do Microsoft Entra ID para acessar a conta do Azure Databricks. Como primeiro administrador de conta, você pode atribuir usuários no locatário do Microsoft Entra ID como administradores de conta adicionais (que podem atribuir mais administradores de conta). Os administradores de conta adicionais não exigem funções específicas no Microsoft Entra ID. Consulte Gerenciar usuários, entidades de serviço e grupos.
Clique em Configurações
.Clique na guia Ativação de recursos.
Em Ativar Proteção de Administrador para Clusters "Sem Isolamento Partilhado", clique na definição para ativar ou desativar esta funcionalidade.
- Se o recurso estiver habilitado, o Azure Databricks impedirá a geração automática de credenciais internas da API do Databricks para administradores de espaço de trabalho do Databricks em clusters compartilhados sem isolamento.
- As alterações podem levar até dois minutos para entrar em vigor em todos os espaços de trabalho.
Limitações
Quando usado sem clusters compartilhados de isolamento ou os modos de cluster herdados equivalentes, os seguintes recursos do Azure Databricks não funcionarão se você habilitar a proteção de administrador para clusters compartilhados sem isolamento em sua conta:
- Cargas de trabalho do Machine Learning Runtime .
- Arquivos de espaço de trabalho.
- dbutils Secrets utilitário.
- dbutils Notebook utilitário.
- Operações Delta Lake por administradores que criam, modificam ou atualizam dados.
Outros recursos podem não funcionar para usuários administradores nesse tipo de cluster porque esses recursos dependem de credenciais internas geradas automaticamente.
Nesses casos, o Azure Databricks recomenda que os administradores sigam um destes procedimentos:
- Use um tipo de cluster diferente de nenhum isolamento compartilhado ou seus tipos de cluster herdados equivalentes.
- Crie um usuário não administrador ao usar clusters compartilhados sem isolamento.
Encontre todos os seus clusters compartilhados sem isolamento (incluindo modos de cluster herdados equivalentes)
Você pode determinar quais clusters em um espaço de trabalho são afetados por essa configuração no nível da conta.
Importe o seguinte bloco de notas para todas as suas áreas de trabalho e execute-o.