Restreindre les administrateurs d’espace de travail

Par défaut, les administrateurs d’espace de travail peuvent remplacer le propriétaire d’un travail par n’importe quel utilisateur ou principal de service dans leur espace de travail. Les administrateurs d’espace de travail peuvent changer le paramètre Exécuter en tant que du travail, et le définir sur des principaux de service pour lesquels ils ont le rôle Utilisateur de principal de service ou sur n’importe quel utilisateur de leur espace de travail.

Les administrateurs de compte peuvent configurer un paramètre d’espace de travail appelé RestrictWorkspaceAdmins pour restreindre les administrateurs d’espace de travail pour qu’ils puissent changer le propriétaire en le définissant seulement sur eux-mêmes, et changer le paramètre Exécuter en tant que en le définissant seulement sur un principal de service pour lequel ils ont le rôle Utilisateur de principal de service.

Pour activer le paramètre RestrictWorkspaceAdmins, vous devez être administrateur de compte et être membre de l’espace de travail que vous souhaitez restreindre. L’exemple suivant utilise l’interface CLI Databricks v0.215.0.

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "restrict_workspace_admins": {
        "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    }
  }
}'

Pour désactiver le paramètre RestrictWorkspaceAdmins, utilisez l’exemple comme ci-dessus et définissez l’état sur ALLOW_ALL.

Vous pouvez également utiliser l’API Restreindre les administrateurs d’espace de travail ou le fournisseur Databricks Terraform.