限制工作区管理员
本文介绍了帐户管理员如何使用 RestrictWorkspaceAdmins 设置来限制有关作业和服务主体的工作区管理员权限。
默认权限
如果不启用 RestrictWorkspaceAdmins 设置,工作区管理员具有以下权限:
- 可以将作业所有者更改为工作区中的任何用户或服务主体。
- 可以将作业的“运行身份”设置更新为管理员工作区中的任何用户,或具有“服务主体用户”角色的任何服务主体。
受限权限
启用 RestrictWorkspaceAdmins 设置后,工作区管理员具有以下权限:
- 只能将作业的所有者更改为管理员自己。
- 可以将作业的“运行身份”设置更新为管理员自己,或具有“服务主体用户”角色的任何服务主体。
启用限制设置
若要启用 RestrictWorkspaceAdmins 设置功能,你必须是帐户管理员,并且是希望施加限制的工作区的成员。 以下示例使用 Databricks CLI v0.215.0。
RestrictWorkspaceAdmins 设置使用 etag 字段来确保一致性。 若要启用或禁用设置,请首先发出 GET 以接收响应中的 etag。 您可以使用 etag更新设置。 例如:
databricks settings restrict-workspace-admins get
示例响应:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL"
},
"setting_name": "default"
}
从响应正文复制 etag 字段,并将其用于更新 RestrictWorkspaceAdmins 设置。 例如:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
示例响应:
{
"etag": "<response-etag>",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name": "default"
}
若要禁用 RestrictWorkspaceAdmins 请将状态设置为 ALLOW_ALL。