Restringir administradores de workspace

Em default, os administradores de workspace podem alterar um proprietário de Job para qualquer usuário ou entidade de serviço em seu workspace. workspace Os administradores podem alterar a configuração Job execução como para a entidade de serviço na qual eles têm a função de usuário da entidade de serviço ou para qualquer usuário em seu workspace.

workspace Os administradores também podem criar um access token pessoal em nome de qualquer entidade de serviço em seu workspace por meio do default.

account Os administradores podem definir uma configuração em workspace chamada RestrictWorkspaceAdmins para restringir os administradores de workspace a alterarem apenas o proprietário de Job para eles mesmos e a configuração de execução como Job para uma entidade de serviço na qual eles tenham a função de usuário da entidade de serviço.

A configuração também restringe os administradores do workspace a criar apenas um access token pessoal para a entidade de serviço na qual eles têm a função de usuário da entidade de serviço.

Para ativar a configuração RestrictWorkspaceAdmins, o senhor deve ser um administrador do site account e deve ser membro do site workspace que deseja restringir. O exemplo a seguir usa a CLI do Databricks v0.215.0.

A configuração RestrictWorkspaceAdmins usa um campo etag para garantir a consistência. Para ativar ou desativar a configuração, primeiro emita um GET e receba um etag como resposta. O senhor pode atualizar a configuração usando etag. Por exemplo:

databricks settings restrict-workspace-admins get

Resposta de exemplo:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Copie o campo etag do corpo da resposta e use-o para atualizar a configuração RestrictWorkspaceAdmins. Por exemplo:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Resposta de exemplo:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Para desativar o RestrictWorkspaceAdmins, defina o status como ALLOW_ALL.

O senhor também pode usar a API Restrict Workspace Admins ou o provedor Databricks Terraform.