작업 영역 관리자 제한

기본적으로 작업 영역 관리자는 작업 소유자를 작업 영역의 모든 사용자 또는 서비스 주체로 변경할 수 있습니다. 작업 영역 관리자는 작업 실행 설정을 서비스 주체 사용자 역할이 있는 서비스 주체 또는 해당 작업 영역의 모든 사용자로 변경할 수 있습니다.

계정 관리자는 RestrictWorkspaceAdmins라는 작업 영역 설정을 구성하여 작업 영역 관리자가 작업 소유자를 오직 본인으로 변경하고, 서비스 주체 사용자 역할이 있는 서비스 주체로 작업 실행 설정을 변경할 수 있도록 제한할 수 있습니다.

RestrictWorkspaceAdmins 설정을 사용하려면 계정 관리자여야 하며 제한하려는 작업 영역의 구성원이어야 합니다. 다음 예제에서는 Databricks CLI v0.215.0을 사용합니다.

RestrictWorkspaceAdmins 설정은 일관성을 보장하기 위해 etag 필드를 사용합니다. 설정을 활성화하거나 비활성화하려면, 먼저 GET를 실행하고 나서 응답으로 etag을 받으세요. etag사용하여 설정을 업데이트할 수 있습니다. 예를 들어:

databricks settings restrict-workspace-admins get

응답 예제:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

응답 본문에서 etag 필드를 복사하고 이를 사용하여 RestrictWorkspaceAdmins 설정을 업데이트합니다. 예를 들어:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

응답 예제:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

RestrictWorkspaceAdmins를 비활성화하려면 상태를 ALLOW_ALL로 설정하십시오.

작업 영역 관리자 제한 API 또는 Databricks Terraform 공급자를 사용할 수도 있습니다.