限制工作区管理员
默认情况下,工作区管理员可以将作业所有者更改为他们工作区中的任何用户或服务主体。 工作区管理员可以将作业的“运行方式”设置更改为他们对其具有“服务主体用户”角色的服务主体或他们工作区中的任何用户。
帐户管理员现在可以配置名为 RestrictWorkspaceAdmins 的工作区设置,从而将工作区管理员限制为只能将作业所有者更改为自己,并且只能将作业的“运行方式”设置更改为他们对其具有“服务主体用户”角色的服务主体。
若要启用 RestrictWorkspaceAdmins 设置,你必须是帐户管理员,并且必须是要限制的工作区的成员。 以下示例使用 Databricks CLI v0.215.0。
RestrictWorkspaceAdmins 设置使用 etag 字段来确保一致性。 若要启用或禁用该设置,请首先发出 GET 来接收响应中的 etag。 可以使用 etag 来更新设置。 例如:
databricks settings restrict-workspace-admins get
示例响应:
{
"etag":"<etag>",
"restrict_workspace_admins": {
"status":"ALLOW_ALL"
},
"setting_name":"default"
}
从响应正文中复制 etag 字段并使用它来更新 RestrictWorkspaceAdmins 设置。 例如:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
示例响应:
{
"etag":"<response-etag>",
"restrict_workspace_admins": {
"status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name":"default"
}
若要禁用 RestrictWorkspaceAdmins,请将状态设置为 ALLOW_ALL。