Restringir administradores de workspace
Em default, os administradores de workspace podem alterar um proprietário de Job para qualquer usuário ou entidade de serviço em seu workspace. workspace Os administradores podem alterar a configuração Job execução como para a entidade de serviço na qual eles têm a função de usuário da entidade de serviço ou para qualquer usuário em seu workspace.
workspace Os administradores também podem criar um access token pessoal em nome de qualquer entidade de serviço em seu workspace por meio do default.
account Os administradores podem definir uma configuração em workspace chamada RestrictWorkspaceAdmins
para restringir os administradores de workspace a alterarem apenas o proprietário de Job para eles mesmos e a configuração de execução como Job para uma entidade de serviço na qual eles tenham a função de usuário da entidade de serviço.
A configuração também restringe os administradores do workspace a criar apenas um access token pessoal para a entidade de serviço na qual eles têm a função de usuário da entidade de serviço.
Para ativar a configuração RestrictWorkspaceAdmins
, o senhor deve ser um administrador do site account e deve ser membro do site workspace que deseja restringir. O exemplo a seguir usa a CLI do Databricks v0.215.0.
A configuração RestrictWorkspaceAdmins
usa um campo etag
para garantir a consistência. Para ativar ou desativar a configuração, primeiro emita um GET
e receba um etag
como resposta. O senhor pode atualizar a configuração usando etag
. Por exemplo:
databricks settings restrict-workspace-admins get
Resposta de exemplo:
{
"etag":"<etag>",
"restrict_workspace_admins": {
"status":"ALLOW_ALL"
},
"setting_name":"default"
}
Copie o campo etag
do corpo da resposta e use-o para atualizar a configuração RestrictWorkspaceAdmins
. Por exemplo:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Resposta de exemplo:
{
"etag":"<response-etag>",
"restrict_workspace_admins": {
"status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name":"default"
}
Para desativar o RestrictWorkspaceAdmins
, defina o status como ALLOW_ALL
.
O senhor também pode usar a API Restrict Workspace Admins ou o provedor Databricks Terraform.