为帐户上的“无隔离共享”集群启用管理保护

帐户管理员可以防止为无隔离共享集群上的Databricks工作区管理员自动生成内部凭据。共享集群是具有访问模式下拉菜单设置为未共享隔离．

重要的

集群UI最近更改了。群集的“无隔离共享访问模式”设置以前显示为“标准集群模式”。如果您使用高并发集群模式没有表访问控制(表acl)，使用与标准集群模式相同的设置。本文讨论的帐户级管理设置适用于无隔离共享访问模式及其等效的遗留集群模式。有关旧UI和新UI集群类型的比较，请参见集群UI更改和集群访问模式．

帐户上的“无隔离共享集群”的管理保护有助于防止管理帐户在与其他用户共享的环境中共享内部凭据。启用此设置可能会影响管理员运行的工作负载。看到限制．

无隔离共享集群在同一个共享环境中运行来自多个用户的任意代码，类似于跨多个用户共享的云虚拟机上发生的情况。提供给该环境的数据或内部凭证可以被在该环境中运行的任何代码访问。为了调用Databricks api进行正常操作，需要代表用户向这些集群提供访问令牌。当高特权用户(例如工作空间管理员)在集群上运行命令时，他们的高特权令牌在同一环境中可见。

您可以确定工作区中的哪些集群具有受此设置影响的集群类型。看到查找所有无隔离共享集群(包括等效的遗留集群模式)．

除了这个帐户级别设置之外，还有一个称为强制用户隔离的工作区级别设置．帐户管理员可以启用它，以防止创建或启动“无隔离共享”集群访问类型或其等效的遗留集群类型．

启用帐户级admin保护设置

以admin帐户登录账户控制台．
点击设置．
单击功能实现选项卡。
下为“无隔离共享”集群启用管理保护，单击设置以启用或禁用此功能。
- 如果启用了该功能，则Databricks将阻止为无隔离共享集群上的Databricks工作区管理员自动生成Databricks API内部凭据。
- 更改最多需要两分钟才能在所有工作区上生效。

限制

当与无隔离共享集群或等效的遗留集群模式一起使用时，如果您为帐户上的无隔离共享集群启用管理保护，则以下Databricks功能将不起作用:

机器学习运行时工作负载。
repo中的文件．
dbutils秘密实用程序．
dbutils笔记本实用程序．
三角洲湖管理员创建、修改或更新数据的操作。

其他特性可能不适用于此集群类型的管理用户，因为这些特性依赖于自动生成的内部凭据。

在这种情况下，Databricks建议管理员采取以下措施之一:

使用“无隔离共享”集群访问类型或其类型以外的其他集群类型等效的遗留集群类型．
使用无隔离共享集群时，创建非admin用户。

如果您对此设置有疑问，请与Databricks代表联系。

查找所有无隔离共享集群(包括等效的遗留集群模式)

您可以确定工作空间中的哪些集群受此帐户级别设置的影响。

将以下笔记本导入到所有工作区并运行该笔记本。

获取所有无隔离共享集群的列表

在新标签页打开笔记本