Partilhar via

Restringir administradores de espaço de trabalho

  • Artigo

Por padrão, os administradores do espaço de trabalho podem alterar o proprietário de um trabalho para qualquer usuário ou principal de serviço no seu espaço de trabalho. Os administradores do espaço de trabalho podem alterar a configuração de execução do trabalho para entidades de serviço nas quais têm a função de Utilizador de Entidade de Serviço ou para qualquer utilizador no seu espaço de trabalho.

Os administradores de conta podem definir uma configuração de espaço de trabalho chamada RestrictWorkspaceAdmins para restringir os administradores de espaço de trabalho a só mudarem um proprietário do trabalho para si mesmos e a configuração de execução do trabalho para uma entidade de serviço na qual eles têm a função de Usuário Principal de Serviço .

Para habilitar a configuração RestrictWorkspaceAdmins, você deve ser um administrador de conta e um membro do espaço de trabalho que deseja restringir. O exemplo a seguir usa a CLI Databricks v0.215.0.

A configuração RestrictWorkspaceAdmins usa um campo etag para garantir a consistência. Para habilitar ou desabilitar a configuração, primeiro emita um GET para receber um etag em resposta. Você pode update a configuração usando o etag. Por exemplo:

databricks settings restrict-workspace-admins get

Exemplo de resposta:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Copie o campo etag do corpo da resposta e depois use-o para update a definição RestrictWorkspaceAdmins. Por exemplo:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Exemplo de resposta:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Para desativar o RestrictWorkspaceAdminsset, altere o status para ALLOW_ALL.

Você também pode usar a API para Restringir Administradores de Espaço de Trabalho ou o provedor Terraform do Databricks .