共用方式為

限制工作區管理員

  • 發行項

根據預設,工作區管理員可以將作業擁有者變更為其工作區中的任何使用者或服務主體。 工作區管理員可以將作業執行身分設定變更為他們具有 服務主體使用者 角色的服務主體,或他們工作區中的任何使用者。

帳戶管理員可以設定名為 RestrictWorkspaceAdmins 的工作區設定,限制工作區管理員只能將作業擁有者更改為自己,並將作業執行設定為自己具有 服務主體使用者 角色的服務主體。

若要啟用 RestrictWorkspaceAdmins 設定,您必須是帳戶管理員,而且必須是您想要限制的工作區成員。 下列範例使用 Databricks CLI v0.215.0。

RestrictWorkspaceAdmins 設定會使用 etag 字段來確保一致性。 若要啟用或停用設定,請先發出 GET 來接收回應中的 etag。 您可以使用 etag來更新設定。 例如:

databricks settings restrict-workspace-admins get

範例回應:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

從回應本文複製 etag 字段,並使用它來更新 RestrictWorkspaceAdmins 設定。 例如:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

範例回應:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

若要停用 RestrictWorkspaceAdmins 將狀態設定為 ALLOW_ALL

您也可以使用 限制工作區系統管理員 APIDatabricks Terraform 提供套件