Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono, jak administratorzy kont mogą używać ustawienia RestrictWorkspaceAdmins w celu ograniczenia uprawnień administratora obszaru roboczego wokół zadań i jednostek usługi.
Uprawnienia domyślne
Bez włączania ustawienia RestrictWorkspaceAdmins administratorzy obszaru roboczego mają następujące uprawnienia:
- Może zmienić właściciela zadania na dowolnego użytkownika lub jednostki usługi w obszarze roboczym.
- Może zaktualizować ustawienie Uruchom jako zadania dla dowolnego użytkownika w obszarze roboczym lub dla dowolnej jednostki usługi, w której ma rolę Użytkownik głównego serwisu.
Ograniczone uprawnienia
Po włączeniu ustawienia RestrictWorkspaceAdmins administratorzy obszaru roboczego mają następujące uprawnienia:
- Może zmienić właściciela zadania tylko na siebie.
- Może zaktualizować ustawienie Uruchom jako zadania na siebie lub dowolny zasadniczy podmiot usługi, w którym ma rolę Użytkownik zasadniczego podmiotu usługi.
Włącz ustawienie ograniczeń
Aby włączyć ustawienie RestrictWorkspaceAdmins, musisz być administratorem konta i musisz być członkiem obszaru roboczego, który chcesz ograniczyć. W poniższym przykładzie użyto interfejsu wiersza polecenia usługi Databricks w wersji 0.215.0.
Ustawienie RestrictWorkspaceAdmins używa pola etag w celu zapewnienia spójności. Aby włączyć lub wyłączyć to ustawienie, najpierw wydaj GET, aby otrzymać etag w odpowiedzi. Ustawienie można zaktualizować przy użyciu etag. Na przykład:
databricks settings restrict-workspace-admins get
Przykładowa odpowiedź:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL"
},
"setting_name": "default"
}
Skopiuj pole etag z treści odpowiedzi i użyj go do zaktualizowania ustawienia RestrictWorkspaceAdmins. Na przykład:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Przykładowa odpowiedź:
{
"etag": "<response-etag>",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name": "default"
}
Aby wyłączyć RestrictWorkspaceAdmins, ustaw stan na ALLOW_ALL.
Możesz również użyć interfejsu API Restrict Workspace Admins API lub dostawcy Databricks Terraform.