Partager via

Restreindre les administrateurs d’espace de travail

  • Article

Par défaut, les administrateurs d’espace de travail peuvent remplacer le propriétaire d’un travail par n’importe quel utilisateur ou principal de service dans leur espace de travail. Les administrateurs d’espace de travail peuvent changer le paramètre Exécuter en tant que du travail, et le définir sur des principaux de service pour lesquels ils ont le rôle Utilisateur de principal de service ou sur n’importe quel utilisateur de leur espace de travail.

Les administrateurs de compte peuvent configurer un paramètre d’espace de travail appelé RestrictWorkspaceAdmins pour restreindre les administrateurs d’espace de travail pour qu’ils puissent changer le propriétaire en le définissant seulement sur eux-mêmes, et changer le paramètre Exécuter en tant que en le définissant seulement sur un principal de service pour lequel ils ont le rôle Utilisateur de principal de service.

Pour activer le paramètre RestrictWorkspaceAdmins, vous devez être administrateur de compte et être membre de l’espace de travail que vous souhaitez restreindre. L’exemple suivant utilise l’interface CLI Databricks v0.215.0.

Le paramètre RestrictWorkspaceAdmins utilise un champ etag pour garantir la cohérence. Pour activer ou désactiver le paramètre, commencez par émettre une GET pour recevoir une etag en réponse. Vous pouvez mettre à jour le paramètre à l’aide du etag. Par exemple :

databricks settings restrict-workspace-admins get

Exemple de réponse :

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Copiez le champ du corps etag de la réponse et utilisez-le pour mettre à jour le paramètre RestrictWorkspaceAdmins. Par exemple :

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Exemple de réponse :

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Pour désactiver le RestrictWorkspaceAdmins définir l’état sur ALLOW_ALL.

Vous pouvez également utiliser l’API Restreindre les administrateurs d’espace de travail ou le fournisseur Databricks Terraform.