Limitare gli amministratori dell'area di lavoro
Per impostazione predefinita, gli amministratori dell'area di lavoro possono modificare un proprietario del processo in qualsiasi utente o entità di servizio nella loro area di lavoro. Gli amministratori dell'area di lavoro possono modificare l'impostazione del processo in modo che venga eseguito da entità servizio su cui hanno il ruolo di Utente del Principale di Servizio o da qualsiasi utente nella loro area di lavoro.
Gli amministratori dell'account possono configurare un'impostazione dell'area di lavoro denominata
Per abilitare l'impostazione RestrictWorkspaceAdmins, è necessario essere un amministratore dell'account ed essere membri dell'area di lavoro da limitare. L'esempio seguente usa l'interfaccia della riga di comando di Databricks v0.215.0.
L'impostazione RestrictWorkspaceAdmins usa un campo etag per garantire la coerenza. Per abilitare o disabilitare l'impostazione, eseguire prima un GET per ricevere un etag in risposta. È possibile aggiornare l'impostazione usando il etag. Per esempio:
databricks settings restrict-workspace-admins get
Risposta di esempio:
{
"etag":"<etag>",
"restrict_workspace_admins": {
"status":"ALLOW_ALL"
},
"setting_name":"default"
}
Copiare il campo etag dal corpo della risposta e usarlo per aggiornare l'impostazione RestrictWorkspaceAdmins. Per esempio:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Risposta di esempio:
{
"etag":"<response-etag>",
"restrict_workspace_admins": {
"status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name":"default"
}
Per disabilitare il RestrictWorkspaceAdmins impostare lo stato su ALLOW_ALL.
È anche possibile usare 'API Restrict Workspace Admins o il provider Databricks Terraform .