Habilite a proteção administrativa para "No isolation shared" clusters em seu account<a class="headerlink" href="#enable-admin-protection-for-"no-isolation-shared"-clusters-on-your-account" title="Permalink to this headline">
Os administradores de accounts podem impedir que credenciais internas sejam geradas automaticamente para administradores de Databricks workspaces em clusters sem isolamento compartilhado.Os clusters sem isolamento compartilhado são clusters que têm o dropdown Modo de acesso definido como Sem isolamento compartilhado.
Importante
A IU dos clusters foi alterada recentemente. A configuração do modo de acesso sem isolamento compartilhado para um cluster apareceu anteriormente como o modo de cluster padrão. Se você tiver usado o modo de cluster de alta simultaneidade sem configurações de segurança adicionais, como access control da tabela (Table ACLs) ou passagem de credenciais, serão usadas as mesmas configurações do modo de cluster Standard. A configuração de administrador no nível de conta que este artigo aborda se aplica ao modo de acesso sem isolamento compartilhado e seus modos de cluster herdados equivalentes. Para obter uma comparação entre os tipos de cluster da IU antiga e da nova IU, consulte Alterações na IU de clusters e modos de acesso a clusters.
A proteção de administrador para No Isolation Shared clusters em seu account ajuda a proteger a conta de administrador contra o compartilhamento de credenciais internas em um ambiente que é compartilhado com outros usuários. A ativação dessa configuração pode afetar as cargas de trabalho que são executadas pelos administradores. Consulte Limitações.
Os clusters sem isolamento compartilhado executam código arbitrário de vários usuários no mesmo ambiente compartilhado, semelhante ao que acontece em uma máquina virtual na cloud compartilhada entre vários usuários. Os dados ou credenciais internas provisionados para esse ambiente podem ser acessíveis a qualquer código em execução nesse ambiente. Para chamar APIs do Databricks para operações normais, os tokens de acesso são provisionados em nome dos usuários para esses clusters. Quando um usuário com privilégios mais elevados, como um administrador do workspace, executa comandos em um cluster, seu token com privilégios mais elevados fica visível no mesmo ambiente.
O senhor pode determinar quais clusters em um workspace têm tipos de cluster que são afetados por essa configuração. Consulte Localizar todos os seus clusters No Isolation Shared (incluindo modos de cluster legados equivalentes).
Além dessa configuração no nível da account, há uma configuração no nível do espaço de trabalho chamada Enforce User Isolation. Os administradores de accounts podem ativá-lo para impedir a criação ou a inicialização de um tipo de acesso de cluster "Sem isolamento compartilhado" ou de seus tipos de cluster legados equivalentes.
Ative a configuração de proteção de administrador no nível da account
Como administrador de accounts, faça login no Account console.
Clique em Settings .
Clique na guia Ativação de recursos .
Em Ativar proteção de admin para clusters "sem isolamento compartilhado", clique na configuração para ativar ou desativar esse recurso.
Se o recurso estiver ativado, o Databricks impedirá a geração automática de credenciais internas da API do Databricks para administradores de Databricks workspaces em clusters sem isolamento compartilhado.
As alterações podem levar até dois minutos para entrar em vigor em todos os workspaces.
Limitações
Quando usados com clusters sem isolamento compartilhado ou com os modos de cluster legados equivalentes, os seguintes recursos do Databricks não funcionarão se você ativar a proteção de admin para clusters compartilhados sem isolamento compartilhado em sua account:
Aprendizado de máquina Runtime cargas de trabalho.
Operações do Delta Lake por administradores que criam, modificam ou atualizam dados.
Outros recursos podem não funcionar para usuários administradores nesse tipo de cluster porque esses recursos dependem de credenciais internas geradas automaticamente.
Nesses casos, a Databricks recomenda que os administradores façam uma das seguintes coisas:
Use um tipo de cluster diferente de "Sem isolamento compartilhado" ou seus tipos de cluster legados equivalentes.
Crie um usuário não administrador ao usar clusters sem isolamento compartilhado.
Encontre todos os seus clusters sem isolamento compartilhado (incluindo modos de cluster legados equivalentes)
O senhor pode determinar quais clusters em um workspace são afetados por essa configuração no nível da account.
Importe o seguinte notebook em todos os seus workspaces e execute o notebook.