アカウントの「分離なし共有」クラスターの管理者保護を有効にする
アカウント管理者は、分離なし共有クラスターのDatabricksワークスペース管理者に対して内部資格情報が自動的に生成されるのを防ぐことができます。分離なし共有クラスターは、[ アクセスモード ]ドロップダウンが「 分離なし共有 」に設定されているクラスターです。
クラスター UI が最近変更されました。 クラスターの [分離なし] 共有アクセス モード設定は、以前は スタンダード クラスター モードとして表示されていました。 テーブルアクセスコントロール (テーブルACL) や資格情報のパススルーなどの追加のセキュリティ設定なしで ハイコンカレンシークラスター モードを使用した場合は、標準 クラスター モードと同じ設定が使用されます。この記事で説明するアカウント レベルの管理設定は、分離なし共有アクセス モードとそれと同等のレガシ クラスター モードの両方に適用されます。 古い UI クラスター タイプと新しい UI クラスター タイプの比較については、 クラスター UI の変更点とアクセス モードのクラスターをご覧ください。
アカウントの 分離なし共有 クラスターの管理者保護は、他のユーザーと共有されている環境で内部資格情報を共有することから管理者アカウントを保護するのに役立ちます。 この設定を有効にすると、管理者が実行するワークロードに影響を与える可能性があります。 制限事項を参照してください。
分離なし共有クラスターは、複数のユーザーで共有されているクラウド仮想マシンと同様に、同じ共有環境の複数のユーザーから任意のコードを実行します。その環境にプロビジョニングされたデータまたは内部認証情報は、その環境内で実行されているコードからアクセスできる場合があります。通常の操作でDatabricks APIを呼び出すために、ユーザーに代わってアクセストークンがこれらのクラスターにプロビジョニングされます。ワークスペース管理者などの上位権限を持つユーザーがクラスター上でコマンドを実行すると、その上位権限を持つトークンが同じ環境で表示されます。
ワークスペース内のどのクラスターに、この設定の影響を受けるクラスターの種類があるかを判断できます。 すべての 分離なし共有 クラスター (同等のレガシ クラスター モードを含む)を参照してください。
このアカウント レベルの設定に加えて、 ユーザー分離の強制と呼ばれるワークスペース レベルの設定があります。 アカウント 管理者は、これを有効にして、「分離共有なし」クラスター アクセス タイプまたは それと同等のレガシ クラスター タイプを作成または開始しないようにすることができます。
アカウント レベルの管理者保護設定を有効にする
-
アカウント管理者として、アカウントコンソールにログインします。
-
[ 設定
]をクリックします。
-
[ 機能有効化 ]タブをクリックします。
-
[ 「分離なし共有」クラスターの管理者保護を有効にする ]で、この機能を有効または無効にする設定をクリックします。
- この機能を有効にすると、Databricksでは「分離なし共有」クラスターでDatabricks管理者のDatabricks API内部資格情報が自動生成されなくなります。
- すべてのワークスペースに変更が反映されるまで、最大2分かかる場合があります。
制限
分離なし共有クラスターまたは同等のレガシークラスターモードで使用する場合、アカウントで分離なし共有クラスターの管理者保護を有効にしていると、以下のDatabricks機能は動作しません。
- 機械学習 ランタイム ワークロード。
- ワークスペース ファイル。
- dbutils シークレット・ユーティリティ。
- dbutils ノートブック・ユーティリティ。
- データを作成、変更、または更新する管理者による Delta Lake の運用。
他の機能は、自動的に生成された内部認証情報に依存しているため、このクラスタータイプの管理者ユーザーには機能しない可能性があります。
このような場合、Databricksでは、管理者が次のいずれかを実行することをお勧めします。
- "分離が共有されていない" または 同等のレガシ クラスター タイプとは異なるクラスター タイプを使用します。
- 分離なし共有クラスターを使用する場合は、管理者以外のユーザーを作成してください。
すべての 分離なし共有 クラスター (同等のレガシ クラスター モードを含む) を検索します
ワークスペース内のどのクラスターがこのアカウントレベルの設定の影響を受けるかを決定できます。
次のノートブックをすべてのワークスペースにインポートし、ノートブックを実行します。