アカウントの "分離共有なし" クラスターの管理者保護を有効にします<a class="headerlink" href="#enable-admin-protection-for-"no-isoation-shared"-clusters-on-your-account" title="このヘッドラインへのパーマリンク">

アカウント管理者は、分離なし共有クラスターのDatabricksワークスペース管理者に対して内部資格情報が自動的に生成されるのを防ぐことができます。分離なし共有クラスターは、[アクセスモード]ドロップダウンが「分離なし共有」に設定されているクラスターです。

重要

クラスターのUIが最近変更されました。クラスターの「分離なし共有」アクセスモード設定は、以前は標準クラスターモードとして表示されていました。 テーブルアクセスコントロール(テーブルACL)やクレデンシャル・パススルーなどの追加のセキュリティ設定を行わずにHigh Concurrencyクラスターモードを使用した場合は、標準クラスターモードと同じ設定が使用されます。この記事で説明するアカウントレベルの管理者設定は、分離なし共有アクセスモードとそれと同等のレガシークラスターモードの両方に適用されます。旧UIクラスターの種類と新UIクラスターの種類の比較については、「クラスターUIの変更とクラスターアクセスモード」を参照してください。

アカウントの分離なし共有クラスターの管理者保護は、他のユーザーと共有されている環境で内部資格情報を共有することから管理者アカウントを保護するのに役立ちます。 この設定を有効にすると、管理者が実行するワークロードに影響を与える可能性があります。 制限事項を参照してください。

分離なし共有クラスターは、複数のユーザーで共有されているクラウド仮想マシンと同様に、同じ共有環境の複数のユーザーから任意のコードを実行します。その環境にプロビジョニングされたデータまたは内部認証情報は、その環境内で実行されているコードからアクセスできる場合があります。通常の操作でDatabricks APIを呼び出すために、ユーザーに代わってアクセストークンがこれらのクラスターにプロビジョニングされます。ワークスペース管理者などの上位権限を持つユーザーがクラスター上でコマンドを実行すると、その上位権限を持つトークンが同じ環境で表示されます。

ワークスペース内のどのクラスターに、この設定の影響を受けるクラスターの種類があるかを判断できます。 「 すべての分離なし共有クラスター (同等のレガシ クラスター モードを含む) を検索する」を参照してください。

このアカウントレベルの設定に加えて、ユーザー分離の強制と呼ばれるワークスペースレベルの設定があります。アカウント管理者はこの機能を有効にすることで、「分離なし共有」クラスター・アクセス・タイプや、それに相当するレガシー・クラスター・タイプを作成または開始しないようにすることができます。

アカウントレベルの管理者保護設定を有効にする

  1. アカウント管理者として、アカウントコンソールにログインします。

  2. [設定 設定アイコン] をクリックします。

  3. [機能有効化]タブをクリックします。

  4. [「分離なし共有」クラスターの管理者保護を有効にする]で、この機能を有効または無効にする設定をクリックします。

    • この機能を有効にすると、Databricksでは「分離なし共有」クラスターでDatabricks管理者のDatabricks API内部資格情報が自動生成されなくなります。

    • すべてのワークスペースに変更が反映されるまで、最大2分かかる場合があります。

制限事項

分離なし共有クラスターまたは同等のレガシークラスターモードで使用する場合、アカウントで分離なし共有クラスターの管理者保護を有効にしていると、以下のDatabricks機能は動作しません。

他の機能は、自動的に生成された内部認証情報に依存しているため、このクラスタータイプの管理者ユーザーには機能しない可能性があります。

このような場合、Databricksでは、管理者が次のいずれかを実行することをお勧めします。

すべての分離なし共有クラスターを検索する(同等の従来のクラスターモードを含む)

ワークスペース内のどのクラスターがこのアカウントレベルの設定の影響を受けるかを決定できます。

次のノートブックをすべてのワークスペースにインポートし、ノートブックを実行します。

すべての共有なし共有クラスターノートブックのリストを取得する

ノートブックを新しいタブで開く