Restreindre les administrateurs d’espace de travail
Par défaut, les administrateurs d’espace de travail peuvent remplacer le propriétaire d’un travail par n’importe quel utilisateur ou principal de service dans leur espace de travail. Les administrateurs d’espace de travail peuvent changer le paramètre Exécuter en tant que du travail, et le définir sur des principaux de service pour lesquels ils ont le rôle Utilisateur de principal de service ou sur n’importe quel utilisateur de leur espace de travail.
Les administrateurs de compte peuvent configurer un paramètre d’espace de travail appelé RestrictWorkspaceAdmins pour restreindre les administrateurs d’espace de travail pour qu’ils puissent changer le propriétaire en le définissant seulement sur eux-mêmes, et changer le paramètre Exécuter en tant que en le définissant seulement sur un principal de service pour lequel ils ont le rôle Utilisateur de principal de service.
Pour activer le paramètre RestrictWorkspaceAdmins, vous devez être administrateur de compte et être membre de l’espace de travail que vous souhaitez restreindre. L’exemple suivant utilise l’interface CLI Databricks v0.215.0.
Le paramètre RestrictWorkspaceAdmins utilise un champ etag pour garantir la cohérence. Pour activer ou désactiver le paramètre, commencez par émettre une GET pour recevoir une etag en réponse. Vous pouvez mettre à jour le paramètre à l’aide du etag. Par exemple :
databricks settings restrict-workspace-admins get
Exemple de réponse :
{
"etag":"<etag>",
"restrict_workspace_admins": {
"status":"ALLOW_ALL"
},
"setting_name":"default"
}
Copiez le champ du corps etag de la réponse et utilisez-le pour mettre à jour le paramètre RestrictWorkspaceAdmins. Par exemple :
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Exemple de réponse :
{
"etag":"<response-etag>",
"restrict_workspace_admins": {
"status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name":"default"
}
Pour désactiver le RestrictWorkspaceAdmins définir l’état sur ALLOW_ALL.
Vous pouvez également utiliser l’API Restreindre les administrateurs d’espace de travail ou le fournisseur Databricks Terraform.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour