Habilite a proteção administrativa para o clustering "No isolation shared" em seu account
Os administradores de accounts podem impedir que credenciais internas sejam geradas automaticamente para administradores de Databricks workspaces em clusters sem isolamento compartilhado.Os clusters sem isolamento compartilhado são clusters que têm o dropdown Modo de acesso definido como Sem isolamento compartilhado .
A interface do usuário de clustering foi alterada recentemente. A configuração do modo de acesso compartilhado No Isolation para um clustering aparecia anteriormente como o modo de clustering Standard. Se o senhor usou o modo de cluster de alta simultaneidade sem configurações de segurança adicionais, como controle de acesso da tabela (ACLs de tabela) ou passagem de credenciais , serão usadas as mesmas configurações do modo de cluster padrão. A configuração de administrador de nível accountdiscutida neste artigo se aplica tanto ao modo de acesso compartilhado No Isolation quanto aos modos de clustering legados equivalentes. Para obter uma comparação entre os tipos de clustering da UI antiga e da nova UI, consulte alterações na UI de clustering e modos de acesso de clustering.
A proteção do administrador para o clustering No Isolation Shared no site account ajuda a proteger a conta do administrador contra o compartilhamento de credenciais internas em um ambiente que é compartilhado com outros usuários. A ativação dessa configuração pode afetar as cargas de trabalho que são executadas pelos administradores. Consulte Limitações.
Os clusters sem isolamento compartilhado executam código arbitrário de vários usuários no mesmo ambiente compartilhado, semelhante ao que acontece em uma máquina virtual na cloud compartilhada entre vários usuários. Os dados ou credenciais internas provisionados para esse ambiente podem ser acessíveis a qualquer código em execução nesse ambiente. Para chamar APIs do Databricks para operações normais, os tokens de acesso são provisionados em nome dos usuários para esses clusters. Quando um usuário com privilégios mais elevados, como um administrador do workspace, executa comandos em um cluster, seu token com privilégios mais elevados fica visível no mesmo ambiente.
O senhor pode determinar quais clusters em um workspace têm tipos de clusters que são afetados por essa configuração. Consulte Localizar todos os seus clusters No Isolation Shared (incluindo modos de clustering legados equivalentes).
Além dessa accountconfiguração de nível, há uma workspaceconfiguração de nível chamada Enforce User Isolation. Os administradores de conta podem ativá-lo para impedir a criação ou a inicialização de um tipo de acesso de clustering "No isolation shared" ou de seus tipos de clustering legados equivalentes.
Ativar a configuração de proteção de administrador de nível account
-
Como administrador da conta, faça login no console da conta.
-
Clique em Configurações
. -
Clique na guia Ativação de recursos .
-
Em Ativar proteção de admin para clusters "sem isolamento compartilhado" , clique na configuração para ativar ou desativar esse recurso.
- Se o recurso estiver ativado, o Databricks impedirá a geração automática de credenciais internas da API do Databricks para administradores de Databricks workspaces em clusters sem isolamento compartilhado.
- As alterações podem levar até dois minutos para entrar em vigor em todos os workspaces.
Limitações
Quando usados com clusters sem isolamento compartilhado ou com os modos de cluster legados equivalentes, os seguintes recursos do Databricks não funcionarão se você ativar a proteção de admin para clusters compartilhados sem isolamento compartilhado em sua account:
- Aprendizado de máquina Runtime cargas de trabalho.
- arquivos de espaço de trabalho.
- dbutils Secrets utilidades.
- dbutils Notebook utilidades.
- Delta Lake operações de administradores que criam, modificam ou atualizam dados.
Outros recursos podem não funcionar para usuários administradores nesse tipo de cluster porque esses recursos dependem de credenciais internas geradas automaticamente.
Nesses casos, a Databricks recomenda que os administradores façam uma das seguintes coisas:
- Use um tipo de clustering diferente de "No isolation shared" (Sem isolamento compartilhado) ou seus tipos de clustering legados equivalentes.
- Crie um usuário não administrador ao usar clusters sem isolamento compartilhado.
Encontre todos os seus clusters No Isolation Shared (incluindo modos de clustering legados equivalentes)
O senhor pode determinar quais clusters em um workspace são afetados por essa configuração no nível da account.
Importe o seguinte notebook em todos os seus workspaces e execute o notebook.