Udostępnij za pośrednictwem

Ograniczanie administratorów obszaru roboczego

  • Artykuł

Domyślnie administratorzy obszaru roboczego mogą zmienić właściciela zadania na dowolnego użytkownika lub jednostki usługi w swoim obszarze roboczym. Administratorzy obszaru roboczego mogą zmienić ustawienie uruchamiania zadania jako ustawienie na jednostki usługi, w których ma rolę użytkownika jednostki usługi, lub do dowolnego użytkownika w swoim obszarze roboczym.

Administratorzy konta mogą skonfigurować ustawienie obszaru roboczego o nazwie RestrictWorkspaceAdmins , aby ograniczyć administratorom obszaru roboczego tylko zmianę właściciela zadania na siebie, a zadanie jest uruchamiane jako ustawienie dla jednostki usługi, w której ma rolę użytkownika jednostki usługi.

Aby włączyć to RestrictWorkspaceAdmins ustawienie, musisz być administratorem konta i musisz być członkiem obszaru roboczego, który chcesz ograniczyć. W poniższym przykładzie użyto interfejsu wiersza polecenia usługi Databricks w wersji 0.215.0.

Ustawienie RestrictWorkspaceAdmins używa etag pola w celu zapewnienia spójności. Aby włączyć lub wyłączyć to ustawienie, najpierw wydaj element , GET aby otrzymać element etag w odpowiedzi. Ustawienie można zaktualizować przy użyciu elementu etag. Na przykład:

databricks settings restrict-workspace-admins get

Przykładowa odpowiedź:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

etag Skopiuj pole z treści odpowiedzi i użyj go do zaktualizowania RestrictWorkspaceAdmins ustawienia. Na przykład:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Przykładowa odpowiedź:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Aby wyłączyć RestrictWorkspaceAdmins ustawienie stanu na ALLOW_ALL.

Możesz również użyć interfejsu API Ogranicz obszar roboczy Administracja s lub dostawcy narzędzia Terraform usługi Databricks.