Delen via

Beperk werkruimte-beheerders

  • Artikel

Werkruimtebeheerders kunnen standaard de eigenaar van een taak wijzigen naar elke gebruiker of service-principal binnen hun werkruimte. Werkruimtebeheerders kunnen de 'job run as'-instelling wijzigen naar service-principals waarop zij de Service Principal User rol hebben, of naar elke gebruiker in hun werkruimte.

Accountbeheerders kunnen een werkruimte-instelling genaamd RestrictWorkspaceAdmins configureren om werkruimtebeheerders te beperken tot alleen het veranderen van een taak-eigenaar tot zichzelf en het instellen van het uitvoeren van de taak als een service-principal waarvoor zij de rol Service Principal Gebruiker hebben.

Als u de instelling RestrictWorkspaceAdmins wilt inschakelen, moet u een accountbeheerder zijn en moet u lid zijn van de werkruimte die u wilt beperken. In het volgende voorbeeld wordt de Databricks CLI v0.215.0 gebruikt.

De RestrictWorkspaceAdmins-instelling maakt gebruik van een etag veld om consistentie te garanderen. Als u de instelling wilt in- of uitschakelen, geeft u eerst een GET om een etag te ontvangen als reactie. U kunt de instelling bijwerken met behulp van de etag. Bijvoorbeeld:

databricks settings restrict-workspace-admins get

Voorbeeldantwoord:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Kopieer het etag veld uit de hoofdtekst van het antwoord en gebruik dit om de RestrictWorkspaceAdmins-instelling bij te werken. Bijvoorbeeld:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Voorbeeldantwoord:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Zet de status van RestrictWorkspaceAdmins op ALLOW_ALLom deze uit te schakelen.

U kunt ook de API voor werkruimtebeheerders beperken of de Databricks Terraform-provider.