Поделиться через

Ограничение администраторов рабочей области

  • Статья

По умолчанию администраторы рабочих областей могут изменить владельца задания на любого пользователя или субъекта-службы в своей рабочей области. Администраторы рабочей области могут изменить задание в качестве параметра для субъектов-служб, в которых у них есть роль пользователя субъекта-службы или любого пользователя в рабочей области.

Администраторы учетных записей могут настроить параметр рабочей области, который вызывается RestrictWorkspaceAdmins для ограничения администраторов рабочих областей, чтобы изменить владельца задания на себя, а задание выполняется в качестве параметра субъекта-службы, на который у них есть роль пользователя субъекта-службы.

Чтобы включить RestrictWorkspaceAdmins этот параметр, необходимо быть администратором учетной записи, и вы должны быть членом рабочей области, которую вы хотите ограничить. В следующем примере используется интерфейс командной строки Databricks версии 0.215.0.

Параметр RestrictWorkspaceAdmins использует etag поле для обеспечения согласованности. Чтобы включить или отключить этот параметр, сначала выдаст GET ответ.etag Параметр можно обновить с помощью etag. Например:

databricks settings restrict-workspace-admins get

Пример ответа:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

etag Скопируйте поле из текста ответа и используйте его для обновления RestrictWorkspaceAdmins параметра. Например:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Пример ответа:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Чтобы отключить RestrictWorkspaceAdmins для параметра состояние ALLOW_ALL.

Вы также можете использовать API ограничения рабочих областей Администратор или поставщика Databricks Terraform.