ワークスペース管理者を制限する

既定では、ワークスペース管理者は、ジョブ所有者をワークスペース内の任意のユーザーまたはサービス プリンシパルに変更できます。 ワークスペース管理者は、サービス プリンシパル ユーザーのロールを持つサービス プリンシパル、またはワークスペース内の任意のユーザーに対して、ジョブの実行設定を変更できます。

アカウント管理者は、RestrictWorkspaceAdmins というワークスペース設定を構成して、ジョブ所有者を自分自身に、およびジョブの実行設定をサービス プリンシパル ユーザー ロールを持つサービス プリンシパルに変更することのみを行うようにワークスペース管理者を制限できます。

RestrictWorkspaceAdmins 設定を有効にするには、アカウント管理者である必要があり、制限するワークスペースのメンバーである必要があります。 次の例では、Databricks CLI v0.215.0 を使用します。

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "restrict_workspace_admins": {
        "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    }
  }
}'

RestrictWorkspaceAdmins を無効にするには、上記の例を使用し、状態を ALLOW_ALL に設定してください。

ワークスペース管理者の制限 API または Databricks Terraform プロバイダーを使用することもできます。