アカウントの「分離を共有しない」クラスターに対する管理者保護を有効にします
アカウント管理者は、分離なし共有クラスターのDatabricksワークスペース管理者に対して内部資格情報が自動的に生成されるのを防ぐことができます。分離なし共有クラスターは、[アクセスモード]ドロップダウンが「分離なし共有」に設定されているクラスターです。
重要
クラスターの UI が最近変更されました。 クラスターの非分離共有アクセス モード設定は、以前は標準クラスター モードとして表示されていました。 テーブルアクセスコントロール (テーブル ACL)なしで高同時実行クラスター モードを使用した場合は、標準クラスター モードと同じ設定が使用されます。 この記事で説明するアカウント レベルの管理設定は、非分離共有アクセス モードとそれに相当する従来のクラスター モードの両方に適用されます。 古い UI と新しい UI の クラスター タイプの比較については、 「 クラスター UI の変更 」と「 クラスター アクセス モード 」を参照してください。
アカウント上の No Isolation Shared クラスター に対する管理者保護は、管理者アカウントが他のユーザーと共有される環境で内部資格情報を共有するのを防ぐのに役立ちます。 この設定を有効にすると、管理者が実行するワークロードに影響する可能性があります。 「制限事項」を参照してください。
分離なし共有クラスターは、複数のユーザーで共有されているクラウド仮想マシンと同様に、同じ共有環境の複数のユーザーから任意のコードを実行します。その環境にプロビジョニングされたデータまたは内部認証情報は、その環境内で実行されているコードからアクセスできる場合があります。通常の操作でDatabricks APIを呼び出すために、ユーザーに代わってアクセストークンがこれらのクラスターにプロビジョニングされます。ワークスペース管理者などの上位権限を持つユーザーがクラスター上でコマンドを実行すると、その上位権限を持つトークンが同じ環境で表示されます。
この設定の影響を受けるクラスター タイプがワークスペース内のどのクラスターにあるかを特定できます。 「すべての No Isolation Shared クラスター (同等のレガシー クラスター モードを含む) を検索する」を参照してください。
このアカウントレベルの設定に加えて、ユーザー分離の強制と呼ばれるワークスペースレベルの設定があります。アカウント管理者はこの機能を有効にすることで、「分離なし共有」クラスター・アクセス・タイプや、それに相当するレガシー・クラスター・タイプを作成または開始しないようにすることができます。
アカウントレベルの管理者保護設定を有効にする
アカウント管理者として、アカウントコンソールにログインします。
「 設定 」をクリックします。
[機能有効化]タブをクリックします。
[「分離なし共有」クラスターの管理者保護を有効にする]で、この機能を有効または無効にする設定をクリックします。
この機能を有効にすると、Databricksでは「分離なし共有」クラスターでDatabricks管理者のDatabricks API内部資格情報が自動生成されなくなります。
すべてのワークスペースに変更が反映されるまで、最大2分かかる場合があります。
制限事項
分離なし共有クラスターまたは同等のレガシークラスターモードで使用する場合、アカウントで分離なし共有クラスターの管理者保護を有効にしていると、以下のDatabricks機能は動作しません。
機械学習Runtimeワークロード。
データの作成、変更、または更新を行うDelta Lakeの操作
他の機能は、自動的に生成された内部認証情報に依存しているため、このクラスタータイプの管理者ユーザーには機能しない可能性があります。
このような場合、Databricksでは、管理者が次のいずれかを実行することをお勧めします。
「分離共有なし」または同等の従来のクラスタータイプとは異なるクラスタータイプを使用します。
分離なし共有クラスターを使用する場合は、管理者以外のユーザーを作成してください。