Compartir a través de

Restricción de los administradores del área de trabajo

  • Artículo

De forma predeterminada, los administradores del área de trabajo pueden cambiar el propietario de un trabajo a cualquier usuario o entidad de servicio de su área de trabajo. Los administradores del área de trabajo pueden cambiar la configuración de la ejecución del trabajo como a entidades de servicio en las que tengan el rol de Usuario de entidad de servicio o a cualquier usuario de su área de trabajo.

Los administradores de cuentas pueden establecer una configuración del área de trabajo denominada RestrictWorkspaceAdmins para restringir que los administradores del área de trabajo solo puedan cambiar el propietario de un trabajo por ellos mismos y la configuración de la ejecución del trabajo como a una entidad de servicio en la que tengan el rol de Usuario de entidad de servicio.

Para habilitar la configuración de RestrictWorkspaceAdmins, debe ser administrador de una cuenta y ser miembro del área de trabajo que quiere restringir. En el ejemplo siguiente se usa la CLI de Databricks v0.215.0.

La configuración de RestrictWorkspaceAdmins usa un campo etag para garantizar la coherencia. Para habilitar o deshabilitar la configuración, primero emita GET para recibir etag como respuesta. Aquí puede actualizar la configuración usando etag. Por ejemplo:

databricks settings restrict-workspace-admins get

Respuesta de ejemplo:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Copie el campo etag del cuerpo de la respuesta y úselo para actualizar la configuración de RestrictWorkspaceAdmins. Por ejemplo:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Respuesta de ejemplo:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Para deshabilitar RestrictWorkspaceAdmins, establezca el estado en ALLOW_ALL.

También puede usar la API de Restricción de administradores del área de trabajo o el proveedor de Terraform de Databricks.