Begränsa arbetsyteadministratörer
Som standardinställning kan arbetsyteadministratörer ändra en jobbägare till valfri användare eller tjänstehuvudnamn i deras arbetsyta. Arbetsyteadministratörer kan ändra inställningen för att köra jobb som tjänstprincipaler som de har rollen Tjänstprincipalanvändare på eller till vilken användare som helst i deras arbetsyta.
Kontoadministratörer kan konfigurera en arbetsyteinställning med namnet RestrictWorkspaceAdmins för att begränsa arbetsyteadministratörer till att endast ändra en jobbägare till sig själva och ändra inställningen för körning av jobb till ett tjänstekonto som de har rollen Service Principal User på.
Om du vill aktivera inställningen RestrictWorkspaceAdmins måste du vara kontoadministratör och vara medlem i den arbetsyta som du vill begränsa. I följande exempel används Databricks CLI v0.215.0.
Inställningen RestrictWorkspaceAdmins använder ett etag fält för att säkerställa konsekvens. Om du vill aktivera eller inaktivera inställningen måste du först utfärda en GET för att ta emot en etag som svar. Du kan uppdatera inställningen med hjälp av etag. Till exempel:
databricks settings restrict-workspace-admins get
Exempelsvar:
{
"etag":"<etag>",
"restrict_workspace_admins": {
"status":"ALLOW_ALL"
},
"setting_name":"default"
}
Kopiera fältet etag från svarstexten och använd det för att uppdatera inställningen för RestrictWorkspaceAdmins. Till exempel:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Exempelsvar:
{
"etag":"<response-etag>",
"restrict_workspace_admins": {
"status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name":"default"
}
Om du vill inaktivera RestrictWorkspaceAdmins ange statusen till ALLOW_ALL.
Du kan också använda API:et Begränsa arbetsyteadministratörer eller Databricks Terraform-providern.