Condividi tramite

Limitare gli amministratori dell'area di lavoro

  • Articolo

Per impostazione predefinita, gli amministratori dell'area di lavoro possono modificare un proprietario del processo in qualsiasi utente o entità servizio nell'area di lavoro. Gli amministratori dell'area di lavoro possono modificare l'impostazione del processo in base alle entità servizio su cui ha il ruolo utente dell'entità servizio o a qualsiasi utente nell'area di lavoro.

Gli amministratori dell'account possono configurare un'impostazione dell'area di lavoro denominata RestrictWorkspaceAdmins per limitare gli amministratori dell'area di lavoro a modificare solo il proprietario del processo e il processo viene eseguito come impostazione su un'entità servizio in cui ha il ruolo utente dell'entità servizio.

Per abilitare l'impostazione RestrictWorkspaceAdmins , è necessario essere un amministratore dell'account ed essere membri dell'area di lavoro da limitare. L'esempio seguente usa l'interfaccia della riga di comando di Databricks v0.215.0.

L'impostazione RestrictWorkspaceAdmins usa un etag campo per garantire la coerenza. Per abilitare o disabilitare l'impostazione, eseguire prima un'eccezione GET per ricevere un oggetto etag in risposta. È possibile aggiornare l'impostazione usando .etag Ad esempio:

databricks settings restrict-workspace-admins get

Esempio di risposta:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Copiare il etag campo dal corpo della risposta e usarlo per aggiornare l'impostazione RestrictWorkspaceAdmins . Ad esempio:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Esempio di risposta:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Per disabilitare l'impostazione RestrictWorkspaceAdmins dello stato su ALLOW_ALL.

È anche possibile usare l'API Restrict Workspace Amministrazione s o il provider Databricks Terraform.