为帐户上的“无隔离共享”集群启用管理保护
帐户管理员可以防止为无隔离共享集群上的Databricks工作区管理员自动生成内部凭据。共享集群是具有访问模式下拉菜单设置为未共享隔离.
重要的
集群UI最近更改了。群集的“无隔离共享访问模式”设置以前显示为“标准集群模式”。如果您使用高并发集群模式没有表访问控制(表acl),使用与标准集群模式相同的设置。本文讨论的帐户级管理设置适用于无隔离共享访问模式及其等效的遗留集群模式。有关旧UI和新UI集群类型的比较,请参见集群UI更改和集群访问模式.
帐户上的“无隔离共享集群”的管理保护有助于防止管理帐户在与其他用户共享的环境中共享内部凭据。启用此设置可能会影响管理员运行的工作负载。看到限制.
无隔离共享集群在同一个共享环境中运行来自多个用户的任意代码,类似于跨多个用户共享的云虚拟机上发生的情况。提供给该环境的数据或内部凭证可以被在该环境中运行的任何代码访问。为了调用Databricks api进行正常操作,需要代表用户向这些集群提供访问令牌。当高特权用户(例如工作空间管理员)在集群上运行命令时,他们的高特权令牌在同一环境中可见。
您可以确定工作区中的哪些集群具有受此设置影响的集群类型。看到查找所有无隔离共享集群(包括等效的遗留集群模式).
除了这个帐户级别设置之外,还有一个称为强制用户隔离的工作区级别设置.帐户管理员可以启用它,以防止创建或启动“无隔离共享”集群访问类型或其等效的遗留集群类型.
启用帐户级admin保护设置
以admin帐户登录账户控制台.
点击设置.
单击功能实现选项卡。
下为“无隔离共享”集群启用管理保护,单击设置以启用或禁用此功能。
如果启用了该功能,则Databricks将阻止为无隔离共享集群上的Databricks工作区管理员自动生成Databricks API内部凭据。
更改最多需要两分钟才能在所有工作区上生效。