次の方法で共有

ワークスペース管理者を制限する

  • [アーティクル]

既定では、ワークスペース管理者は、ジョブ所有者をワークスペース内の任意のユーザーまたはサービス プリンシパルに変更できます。 ワークスペース管理者は、サービス プリンシパル ユーザーのロールを持つサービス プリンシパル、またはワークスペース内の任意のユーザーに対して、ジョブの実行設定を変更できます。

アカウント管理者は、RestrictWorkspaceAdmins というワークスペース設定を構成して、ジョブ所有者を自分自身に、およびジョブの実行設定をサービス プリンシパル ユーザー ロールを持つサービス プリンシパルに変更することのみを行うようにワークスペース管理者を制限できます。

RestrictWorkspaceAdmins 設定を有効にするには、アカウント管理者である必要があり、制限するワークスペースのメンバーである必要があります。 次の例では、Databricks CLI v0.215.0 を使用します。

RestrictWorkspaceAdmins 設定では、一貫性を確保するために etag フィールドを使用します。 設定を有効または無効にするには、応答で etag を受信するように最初に GET を発行します。 etag を使用して設定を更新できます。 次に例を示します。

databricks settings restrict-workspace-admins get

応答の例:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

応答本文から etag フィールドをコピーし、それを使用して RestrictWorkspaceAdmins 設定を更新します。 次に例を示します。

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

応答の例:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

RestrictWorkspaceAdmins を無効にするには、状態を ALLOW_ALL に設定します。

ワークスペース管理者の制限 API または Databricks Terraform プロバイダーを使用することもできます。