Einschränken von Arbeitsbereichsadministratoren
Standardmäßig können Arbeitsbereichsadministratoren einen Auftragsbesitzer in einen beliebigen Benutzer oder Dienstprinzipal in ihrem Arbeitsbereich ändern. Arbeitsbereichsadministratoren können die Einstellung „Ausführen als“ für einen Auftrag in Dienstprinzipale, für die sie die Rolle Dienstprinzipalbenutzer haben, oder in ein beliebiges Benutzerkonto in ihrem Arbeitsbereich ändern.
Kontoadministratoren können eine Arbeitsbereichseinstellung namens RestrictWorkspaceAdmins konfigurieren, um Arbeitsbereichsadministratoren so einzuschränken, dass sie den Auftragsbesitz nur auf sich selbst und die Einstellung „Ausführen als“ für einen Auftrag nur in einen Dienstprinzipal, für den sie die Rolle Dienstprinzipalbenutzer haben, ändern können.
Die Einstellung RestrictWorkspaceAdmins kann nur von Kontoadministratoren geändert werden, die Mitglied des einzuschränkenden Arbeitsbereichs sind. Im folgenden Beispiel wird die Databricks CLI v0.215.0 verwendet.
databricks settings restrict-workspace-admins update --json '{
"setting": {
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
}
}
}'
Zum Deaktivieren der Einstellung RestrictWorkspaceAdmins verwenden Sie das Beispiel wie oben und legen dabei den Status auf ALLOW_ALL fest.
Sie können auch die API zum Einschränken von Arbeitsbereichsadministratoren oder den Databricks Terraform-Anbieter verwenden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für