Membatasi admin ruang kerja
Secara default, admin ruang kerja dapat mengubah pemilik pekerjaan menjadi pengguna atau perwakilan layanan apa pun di ruang kerja mereka. Admin ruang kerja dapat mengubah pekerjaan yang dijalankan sebagai pengaturan ke perwakilan layanan tempat mereka memiliki peran Pengguna Perwakilan Layanan pada atau ke pengguna mana pun di ruang kerja mereka.
Admin akun dapat mengonfigurasi pengaturan ruang kerja yang dipanggil RestrictWorkspaceAdmins untuk membatasi admin ruang kerja untuk hanya mengubah pemilik pekerjaan menjadi diri mereka sendiri dan pekerjaan berjalan sebagai pengaturan ke perwakilan layanan tempat mereka memiliki peran Pengguna Perwakilan Layanan.
Untuk mengaktifkan RestrictWorkspaceAdmins pengaturan, Anda harus menjadi admin akun dan Anda harus menjadi anggota ruang kerja yang ingin Anda batasi. Contoh berikut menggunakan Databricks CLI v0.215.0.
Pengaturan RestrictWorkspaceAdmins menggunakan etag bidang untuk memastikan konsistensi. Untuk mengaktifkan atau menonaktifkan pengaturan, pertama-tama terbitkan GET untuk menerima etag sebagai respons. Anda dapat memperbarui pengaturan menggunakan etag. Contohnya:
databricks settings restrict-workspace-admins get
Contoh respons:
{
"etag":"<etag>",
"restrict_workspace_admins": {
"status":"ALLOW_ALL"
},
"setting_name":"default"
}
etag Salin bidang dari isi respons dan gunakan untuk memperbarui RestrictWorkspaceAdmins pengaturan. Contohnya:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Contoh respons:
{
"etag":"<response-etag>",
"restrict_workspace_admins": {
"status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name":"default"
}
Untuk menonaktifkan RestrictWorkspaceAdmins atur status ke ALLOW_ALL.
Anda juga dapat menggunakan API Batasi Admin Ruang Kerja atau penyedia Databricks Terraform.