Поделиться через

Ограничить администраторов рабочей области

  • Статья

По умолчанию администраторы рабочих областей могут изменить владельца задания на любого пользователя или служебного субъекта в рамках рабочей области. Администраторы рабочей области могут изменить задание в качестве параметра для субъектов-служб, у которых роль пользователя субъекта-службы или любого пользователя в рабочей области.

Администраторы учетных записей могут настроить параметр рабочей области под названием RestrictWorkspaceAdmins, чтобы ограничить возможности администраторов рабочих областей изменять владельца задания только на себя и устанавливать выполнение задания на субъект-службы, для которого у них есть роль пользователя субъекта-службы.

Чтобы включить параметр RestrictWorkspaceAdmins, необходимо быть администратором учетной записи, и вы должны быть членом рабочей области, которую вы хотите ограничить. В следующем примере используется интерфейс командной строки Databricks версии 0.215.0.

Параметр RestrictWorkspaceAdmins использует поле etag для обеспечения согласованности. Чтобы включить или отключить этот параметр, сначала отправьте GET, чтобы получить etag в ответ. Параметр можно update с помощью etag. Например:

databricks settings restrict-workspace-admins get

Пример ответа:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Скопируйте поле etag из текста ответа и используйте его для update параметра RestrictWorkspaceAdmins. Например:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Пример ответа:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Чтобы отключить RestrictWorkspaceAdminsset статус до ALLOW_ALL.

Вы также можете использовать API ограничить доступ к рабочим областям или поставщиком Databricks Terraform.