Compartilhar via

Restringir administradores do workspace

  • Artigo

Por padrão, os administradores do workspace podem alterar um proprietário de trabalho para qualquer usuário ou entidade de serviço em seu workspace. Os administradores do workspace podem alterar a execução do trabalho como configuração para entidades de serviço nas quais têm a função de Usuário da entidade de serviço ou para qualquer usuário em seu workspace.

Os administradores de conta podem definir uma configuração de workspace chamada RestrictWorkspaceAdmins para restringir os administradores do workspace para alterar apenas um proprietário de trabalho para si mesmos e o trabalho executado como configuração para uma entidade de serviço na qual eles têm a função Usuário da Entidade de Serviço.

Para habilitar a configuração RestrictWorkspaceAdmins, você deve ser um administrador de conta e deve ser um membro do espaço de trabalho que deseja restringir. O exemplo a seguir usa a CLI do Databricks v0.215.0.

A configuração RestrictWorkspaceAdmins usa um campo etag para garantir a consistência. Para habilitar ou desabilitar a configuração, primeiro emita um GET para receber um etag em resposta. Você pode atualizar a configuração usando o etag. Por exemplo:

databricks settings restrict-workspace-admins get

Exemplo de resposta:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Copie o campo etag do corpo da resposta e use-o para atualizar a configuração de RestrictWorkspaceAdmins. Por exemplo:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Exemplo de resposta:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Para desabilitar o RestrictWorkspaceAdmins defina o status como ALLOW_ALL.

Você também pode usar a API de Restrição de Administradores do Espaço de Trabalho ou o provedor Terraform do Databricks.