Habilite a proteção administrativa para clustering compartilhado sem isolamento em seu account
Esta página descreve como os administradores do account podem utilizar uma configuração no nível do accountpara impedir que credenciais internas sejam geradas automaticamente para administradores do Databricks workspace em clustering compartilhado sem isolamento.
Os administradores do espaço de trabalho podem utilizar a configuração “Aplicar isolamento do usuário ” para desativar o uso de clustering compartilhado sem isolamento em um workspace.
Os administradores de conta podem desativar o clustering compartilhado sem isolamento em todos os novos espaços de trabalho utilizando a configuração Desativar recurso legado.
A proteção do administrador para o clustering No Isolation Shared no site account ajuda a proteger a conta do administrador contra o compartilhamento de credenciais internas em um ambiente que é compartilhado com outros usuários. A ativação dessa configuração pode afetar as cargas de trabalho que são executadas pelos administradores. Consulte Limitações.
O que é clustering compartilhado sem isolamento?
O clustering compartilhado sem isolamento é um recurso d compute s que utiliza o modo de acesso legado sem isolamento compartilhado .
Os clusters sem isolamento compartilhado executam código arbitrário de vários usuários no mesmo ambiente compartilhado, semelhante ao que acontece em uma máquina virtual na cloud compartilhada entre vários usuários. Os dados ou credenciais internas provisionados para esse ambiente podem ser acessíveis a qualquer código em execução nesse ambiente.
Para chamar APIs do Databricks para operações normais, os tokens de acesso são provisionados em nome dos usuários para esses clusters. Quando um usuário com privilégios mais elevados, como um administrador do workspace, executa comandos em um cluster, seu token com privilégios mais elevados fica visível no mesmo ambiente.
Ativar a configuração de proteção de administrador de nível account
Para determinar quais agrupamentos em um cluster de isolamento ( workspace ) serão afetados por essa configuração, consulte Localizar todos os seus agrupamentos compartilhados sem isolamento (incluindo modos de agrupamento legados equivalentes).
-
Como administrador da conta, faça login no console da conta.
-
Clique em Configurações
. -
Clique na guia Ativação de recursos .
-
Em Ativar proteção de admin para clusters "sem isolamento compartilhado" , clique na configuração para ativar ou desativar esse recurso.
- Se o recurso estiver ativado, o Databricks impedirá a geração automática de credenciais internas da API do Databricks para administradores de Databricks workspaces em clusters sem isolamento compartilhado.
- As alterações podem levar até dois minutos para entrar em vigor em todos os workspaces.
Limitações
Quando usados com clusters sem isolamento compartilhado ou com os modos de cluster legados equivalentes, os seguintes recursos do Databricks não funcionarão se você ativar a proteção de admin para clusters compartilhados sem isolamento compartilhado em sua account:
- Aprendizado de máquina Runtime cargas de trabalho.
- arquivos de espaço de trabalho.
- dbutils Secrets utilidades.
- dbutils Notebook utilidades.
- Delta Lake operações de administradores que criam, modificam ou atualizam dados.
Outros recursos podem não funcionar para usuários administradores nesse tipo de cluster porque esses recursos dependem de credenciais internas geradas automaticamente.
Nesses casos, a Databricks recomenda que os administradores façam uma das seguintes coisas:
- Utilize um tipo de agrupamento diferente de “sem isolamento compartilhado” ou seus tipos de agrupamento legados equivalentes.
- Crie um usuário não administrador ao usar clusters sem isolamento compartilhado.
Encontre todos os seus clusters compartilhados sem isolamento (incluindo modos de clustering legados equivalentes)
O senhor pode determinar quais clusters em um workspace são afetados por essa configuração no nível da account.
Importe o seguinte notebook em todos os seus workspaces e execute o notebook.