Munkaterület-rendszergazdák korlátozása
Alapértelmezés szerint a munkaterület rendszergazdái a munkaterületen lévő bármely felhasználóra vagy szolgáltatásnévre módosíthatják a feladat tulajdonosát. A munkaterület rendszergazdái módosíthatják a feladat futtatását olyan szolgáltatásnevek beállításaként, amelyeken a szolgáltatásnév felhasználói szerepköre van, vagy a munkaterület bármely felhasználójára.
A fiókadminisztrátorok konfigurálhatnak egy munkaterület-beállítást, amelynek a célja RestrictWorkspaceAdmins , hogy a munkaterület rendszergazdái csak saját magukra módosítsanak egy feladattulajdonost, és a feladat olyan szolgáltatásnévre legyen beállítva, amelyen a szolgáltatásnév felhasználói szerepköre van.
A beállítás engedélyezéséhez RestrictWorkspaceAdmins fiókadminisztrátornak kell lennie, és a korlátozni kívánt munkaterület tagjának kell lennie. Az alábbi példa a Databricks CLI 0.215.0-s verziót használja.
A RestrictWorkspaceAdmins beállítás egy etag mezőt használ a konzisztencia biztosításához. A beállítás engedélyezéséhez vagy letiltásához először adjon meg egy GETetag választ. A beállítást a következővel frissítheti: etag. Példa:
databricks settings restrict-workspace-admins get
Példaválasz:
{
"etag":"<etag>",
"restrict_workspace_admins": {
"status":"ALLOW_ALL"
},
"setting_name":"default"
}
Másolja ki a mezőt a etag válasz törzséből, és használja a RestrictWorkspaceAdmins beállítás frissítéséhez. Példa:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Példaválasz:
{
"etag":"<response-etag>",
"restrict_workspace_admins": {
"status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name":"default"
}
Az állapot beállításának RestrictWorkspaceAdmins letiltása a következőre ALLOW_ALL: .
Használhatja a Munkaterület korlátozása Rendszergazda s API-t vagy a Databricks Terraform-szolgáltatót is.