Partilhar via

Restringir administradores de espaço de trabalho

  • Artigo

Este artigo explica como os administradores de conta podem usar a configuração RestrictWorkspaceAdmins para limitar as permissões de administrador do espaço de trabalho em relação a trabalhos e entidades de serviço.

Permissões padrão

Sem habilitar a configuração RestrictWorkspaceAdmins, os administradores do espaço de trabalho têm as seguintes permissões:

  • Podem alterar o proprietário de uma tarefa para qualquer utilizador ou entidade de serviço no seu espaço de trabalho.
  • Pode atualizar a configuração Executar como de um trabalho para qualquer usuário em seu espaço de trabalho ou para qualquer entidade de serviço onde eles tenham a função Usuário Principal de Serviço.

Permissões restritas

Depois de habilitar a configuração RestrictWorkspaceAdmins, os administradores do espaço de trabalho têm as seguintes permissões:

  • Só pode mudar o dono de um trabalho para si mesmo.
  • Pode atualizar a configuração Executar como de um trabalho para si mesmo ou para qualquer entidade de serviço na qual ele tenha a função de Usuário Principal de Serviço.

Ativar a configuração de restrição

Para habilitar a configuração RestrictWorkspaceAdmins, você deve ser um administrador de conta e um membro do espaço de trabalho que deseja restringir. O exemplo a seguir usa a CLI Databricks v0.215.0.

A configuração RestrictWorkspaceAdmins usa um campo etag para garantir a consistência. Para habilitar ou desabilitar a configuração, primeiro emita um GET para receber um etag em resposta. Você pode atualizar a configuração usando o etag. Por exemplo:

databricks settings restrict-workspace-admins get

Exemplo de resposta:

{
  "etag": "<etag>",
  "restrict_workspace_admins": {
    "status": "ALLOW_ALL"
  },
  "setting_name": "default"
}

Copie o campo etag do corpo da resposta e use-o para atualizar a configuração RestrictWorkspaceAdmins. Por exemplo:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Exemplo de resposta:

{
  "etag": "<response-etag>",
  "restrict_workspace_admins": {
    "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name": "default"
}

Para desativar o RestrictWorkspaceAdmins defina o status como ALLOW_ALL.

Você também pode usar a API para Restringir Administradores de Espaço de Trabalho ou o provedor Terraform do Databricks .