Restringir administradores de workspace
Este artigo explica como os administradores do account podem usar a configuração RestrictWorkspaceAdmins
para limitar as permissões de administrador do workspace em relação a Job e entidade de serviço.
Permissões padrão
Sem ativar a configuração RestrictWorkspaceAdmins
, os administradores do workspace têm as seguintes permissões:
É possível alterar o proprietário de um trabalho para qualquer usuário ou entidade de serviço em workspace.
Pode atualizar a execução de um trabalho como configuração para qualquer usuário em seu site workspace ou para qualquer entidade de serviço em que tenha a função de usuário da entidade de serviço.
Pode criar tokens de acesso pessoal em nome de qualquer entidade de serviço em seu site workspace.
Permissões restritas
Depois de ativar a configuração RestrictWorkspaceAdmins
, os administradores do workspace têm as seguintes permissões:
Só pode alterar o proprietário de um trabalho para si mesmo.
Pode atualizar a execução de um trabalho como configuração para si mesmo ou para qualquer entidade de serviço em que tenha a função de usuário da entidade de serviço.
Só é possível criar tokens de acesso pessoal para a entidade de serviço se o usuário tiver a função de usuário da entidade de serviço.
Ativar a configuração de restrição
Para ativar a configuração RestrictWorkspaceAdmins
, o senhor deve ser um administrador do site account e deve ser membro do site workspace que deseja restringir. O exemplo a seguir usa a CLI do Databricks v0.215.0.
A configuração RestrictWorkspaceAdmins
usa um campo etag
para garantir a consistência. Para ativar ou desativar a configuração, primeiro emita um GET
e receba um etag
como resposta. O senhor pode atualizar a configuração usando etag
. Por exemplo:
databricks settings restrict-workspace-admins get
Resposta de exemplo:
{
"etag":"<etag>",
"restrict_workspace_admins": {
"status":"ALLOW_ALL"
},
"setting_name":"default"
}
Copie o campo etag
do corpo da resposta e use-o para atualizar a configuração RestrictWorkspaceAdmins
. Por exemplo:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Resposta de exemplo:
{
"etag":"<response-etag>",
"restrict_workspace_admins": {
"status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name":"default"
}
Para desativar o RestrictWorkspaceAdmins
, defina o status como ALLOW_ALL
.
O senhor também pode usar a API Restrict Workspace Admins ou o provedor Databricks Terraform.