Enable admin protection for No Isolation Shared clusters on your account | Databricks on AWS [2022/10/7時点]の翻訳です。
本書は抄訳であり内容の正確性を保証するものではありません。正確な内容に関しては原文を参照ください。
アカウント管理者はAccess modeドロップダウンがNo Isolation Sharedに設定されたクラスターにおいて、Databricksワークスペース管理者向けの内部認証情報が自動で生成されることを防ぐことができます。
重要!
最近クラスターUIが変更されました。分離なし共有クラスターは以前はスタンダードクラスターとして表示されていました。cACLやクレディンシャルパススルーの様な追加のセキュリティ設定なしのハイコンカレンシークラスターは、スタンダードクラスターモードと同じ設定が用いられます。本書で議論されるアカウントレベルの管理者設定は、新たなクラスターUIを使用していない場合には、これら両方のケースに適用されます。古いUIと新しいUIのクラスタータイプの比較に関しては、Clusters UI changes and cluster access modesをご覧ください。
お使いのアカウントにおける分離なし共有クラスターの管理者保護を用いることで、別のユーザーと共有される環境で管理者アカウントの内部の認証情報を共有することを保護することができます。この設定を有効化することで、管理者によって実行されるワークロードにインパクトが生じる場合があります。制限をご覧ください。
分離なし共有クラスターは、同じ共有環境で複数ユーザーからの任意のコードを実行します。これは複数ユーザーによって共有されるクラウドの仮想マシンと同じ様なものです。結果として、当該環境にプロビジョンされるデータや認証情報は、その環境で実行される任意のコードからアクセスできる場合があります。通常のオペレーションにおいてDatabricksのAPIを呼び出すためには、これのクラスターにユーザーの代わりにアクセストークンがプロビジョンされます。ワークスペース管理者のような強い権限を持つユーザーがクラスターでコマンドを実行すると、強い権限を持つトークンが同じ環境で見える様になります。
ワークスペースにおいて、どのクラスターがこの設定の影響を受けるクラスタータイプであるのかを特定することができます。すべての分離なし共有クラスター(同等のレガシークラスターモードを含む)を見つけ出すをご覧ください。
E2バージョンのプラットフォームのアカウントコンソールにのみこの設定は含まれています。他のアカウントタイプの場合は、この機能を有効化するためにDatabricks担当者にコンタクトしてください。アカウントタイプが不明の場合にもDatabricks担当者にコンタクトしてください。
アカウントレベルの管理者保護設定を有効化する
- アカウント管理者として、アカウントコンソールにログインします。
- Settingsをクリックします。
- Feature enablementタブをクリックします。
-
Enable Admin Protection for “No Isolation Shared” Clustersで、設定の有効化、無効化を行います。
- この機能が有効化されると、Databricksは分離なし共有クラスターにおいてDatabricksワークスペース管理者に対するDatabricks API内部認証情報の自動生成を抑止します。
- 変更がすべてのワークスペースに適用されるまでに約2分を要します。
制限
分離なし共有クラスター(同等のレガシークラスターモードを含む)を使用する際、分離なし共有クラスターの管理者保護を有効にすると、お使いのアカウントで以下のDatabricksの機能は使用できなくなります。
このクラスタータイプで管理者ユーザーで作業をしている場合、自動で内部の認証情報を生成するため、他の機能も動作しなくなる場合があります。
これら場合、管理者は以下のいずれかを行うことをお勧めします。
- 別のクラスタータイプを使用する
- 分離なし共有クラスターを使用する際に非管理者ユーザーを作成する
この設定に関して質問がある場合には、Databricks担当者にコンタクトしてください。
すべての分離なし共有クラスター(同等のレガシークラスターモードを含む)を見つけ出す
このアカウントレベルの設定によって影響を受けるワークスペース上のクラスターを特定することができます。
すべてのワークスペースに以下のノートブックをインポートして実行してください
すべての分離なし共有クラスターのリストを取得する