このページでは、アカウント管理者がアカウント レベルの設定を使用して、分離共有クラスターがない Azure Databricks ワークスペース管理者に対して内部資格情報が自動的に生成されないようにする方法について説明します。
注
ワークスペース管理者は、[ ユーザー分離の強制] 設定 を使用して、ワークスペース内の分離共有クラスターの使用を無効にすることができます。
アカウント管理者は、[従来の機能を無効にする] 設定を使用して、すべての新しいワークスペースで分離共有クラスターを 無効に することはできません。
アカウントの非分離共有クラスターの管理者保護は、管理者アカウントが他のユーザーと共有されている環境で内部資格情報を共有するのを防ぐのに役立ちます。 この設定を有効にすると、管理者が実行するワークロードに影響する可能性があります。 「制限事項」を参照してください。
分離共有クラスターとは
分離共有クラスターは、レガシ アクセス モードを使用するコンピューティング リソース です。分離は共有されません。
分離共有クラスターは、複数のユーザー間で共有されるクラウド仮想マシンで行われるのと同様に、同じ共有環境の複数のユーザーから任意のコードを実行しません。 その環境にプロビジョニングされたデータまたは内部資格情報は、その環境内で実行されている任意のコードからアクセスできる場合があります。
通常の操作のために Azure Databricks API を呼び出すには、これらのクラスターに対するユーザーに代わってアクセス トークンがプロビジョニングされます。 ワークスペース管理者などの高い特権を持つユーザーがクラスターでコマンドを実行すると、その高い特権トークンが同じ環境に表示されます。
アカウント レベルの管理者保護設定を有効にする
この設定の影響を受けるワークスペース内のクラスターを決定するには、「分離 されていない共有クラスターをすべて検索する (同等のレガシ クラスター モードを含む)」を参照してください。
アカウント管理者として、アカウント コンソールにログインします。
重要
Microsoft Entra ID テナントのユーザーがまだアカウント コンソールにログインしていない場合、あなたかテナント内の別のユーザーが最初のアカウント管理者としてログインする必要があります。これを行うには、Microsoft Entra ID グローバル管理者になる必要がありますが、Azure Databricks Account Console に初めてログインしたときだけです。 最初のログイン時に、ユーザーは Azure Databricks アカウント管理者になり、Azure Databricks アカウントにアクセスするためには、Microsoft Entra ID 全体管理者の役割は不要になります。 最初のアカウント管理者は、Microsoft Entra ID テナントのユーザーを追加のアカウント管理者として割り当てることができます (このユーザー自身がアカウント管理者をさらに割り当てることができます)。 追加のアカウント管理者は、Microsoft Entra ID で特定のロールを必要としません。 「ユーザー、サービス プリンシパル、グループを構成する」を参照してください。
[設定]
![[設定] アイコン](../../_static/images/icons/settings-icon.png)
をクリックします。[機能の有効化] タブをクリックします。
[分離共有なし] クラスターの [管理保護を有効にする] で、この機能を有効または無効にする設定をクリックします。
- この機能が有効になっている場合、Azure Databricks では、分離された共有クラスターに対して Databricks ワークスペース管理者の Databricks API 内部資格情報が自動生成されなくなります。
- 変更がすべてのワークスペースに反映されるまでに最大 2 分かかる場合があります。
制限事項
分離共有クラスターまたは同等のレガシ クラスター モードなしで使用する場合、アカウントで分離共有クラスターがない場合に管理者保護を有効にした場合、次の Azure Databricks 機能は機能しません。
- Machine Learning ランタイム のワークロード。
- ワークスペース ファイル。
- dbutils Secrets ユティリティ。
- dbutils Notebook ユティリティ。
- データを作成、変更、または更新する管理者による Delta Lake 操作。
これらの機能は自動的に生成された内部資格情報に依存するため、このクラスターの種類の管理者ユーザーには他の機能が機能しない場合があります。
このような場合、Azure Databricks では、管理者が次のいずれかの操作を行うことをお勧めします。
- 分離共有しないクラスターまたは 同等の従来のクラスターの種類とは異なるクラスターの種類を使用します。
- 分離共有クラスターを使用しない場合は、管理者以外のユーザーを作成します。
分離されていない共有クラスターをすべて検索する (同等のレガシ クラスター モードを含む)
このアカウント レベルの設定の影響を受けるワークスペース内のクラスターを決定できます。
次のノートブックをすべてのワークスペースにインポートし、ノートブックを実行します。