Restringir administradores de workspace

Este artigo explica como os administradores do account podem usar a configuração RestrictWorkspaceAdmins para limitar as permissões de administrador do workspace em relação a Job e entidade de serviço.

Permissões padrão

Sem ativar a configuração RestrictWorkspaceAdmins, os administradores do workspace têm as seguintes permissões:

  • É possível alterar o proprietário de um trabalho para qualquer usuário ou entidade de serviço em workspace.

  • Pode atualizar a execução de um trabalho como configuração para qualquer usuário em seu site workspace ou para qualquer entidade de serviço em que tenha a função de usuário da entidade de serviço.

  • Pode criar tokens de acesso pessoal em nome de qualquer entidade de serviço em seu site workspace.

Permissões restritas

Depois de ativar a configuração RestrictWorkspaceAdmins, os administradores do workspace têm as seguintes permissões:

  • Só pode alterar o proprietário de um trabalho para si mesmo.

  • Pode atualizar a execução de um trabalho como configuração para si mesmo ou para qualquer entidade de serviço em que tenha a função de usuário da entidade de serviço.

  • Só é possível criar tokens de acesso pessoal para a entidade de serviço se o usuário tiver a função de usuário da entidade de serviço.

Ativar a configuração de restrição

Para ativar a configuração RestrictWorkspaceAdmins, o senhor deve ser um administrador do site account e deve ser membro do site workspace que deseja restringir. O exemplo a seguir usa a CLI do Databricks v0.215.0.

A configuração RestrictWorkspaceAdmins usa um campo etag para garantir a consistência. Para ativar ou desativar a configuração, primeiro emita um GET e receba um etag como resposta. O senhor pode atualizar a configuração usando etag. Por exemplo:

databricks settings restrict-workspace-admins get

Resposta de exemplo:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Copie o campo etag do corpo da resposta e use-o para atualizar a configuração RestrictWorkspaceAdmins. Por exemplo:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Resposta de exemplo:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Para desativar o RestrictWorkspaceAdmins, defina o status como ALLOW_ALL.

O senhor também pode usar a API Restrict Workspace Admins ou o provedor Databricks Terraform.