Partilhar via

Restringir administradores de espaço de trabalho

  • Artigo

Por padrão, os administradores do espaço de trabalho podem alterar o proprietário de um trabalho para qualquer usuário ou entidade de serviço em seu espaço de trabalho. Os administradores do espaço de trabalho podem alterar a execução do trabalho como configuração para entidades de serviço nas quais eles têm a função Usuário Principal do Serviço ou para qualquer usuário em seu espaço de trabalho.

Os administradores de conta podem definir uma configuração de espaço de trabalho chamada RestrictWorkspaceAdmins para restringir os administradores de espaço de trabalho a alterar apenas um proprietário de trabalho para si mesmos e o trabalho executado como configuração para uma entidade de serviço na qual eles têm a função de Usuário Principal de Serviço.

Para habilitar a RestrictWorkspaceAdmins configuração, você deve ser um administrador de conta e deve ser um membro do espaço de trabalho que deseja restringir. O exemplo a seguir usa a CLI Databricks v0.215.0.

A RestrictWorkspaceAdmins configuração usa um etag campo para garantir a consistência. Para habilitar ou desabilitar a configuração, primeiro emita a GET para receber uma etag resposta. Você pode atualizar a configuração usando o etag. Por exemplo:

databricks settings restrict-workspace-admins get

Resposta de exemplo:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Copie o etag campo do corpo da resposta e use-o para atualizar a RestrictWorkspaceAdmins configuração. Por exemplo:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Resposta de exemplo:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Para desativar o RestrictWorkspaceAdmins defina o status como ALLOW_ALL.

Você também pode usar a API Restringir administradores de espaço de trabalho ou o provedor Databricks Terraform.