限制工作區管理員
根據預設,工作區管理員可以將作業擁有者變更為其工作區中的任何使用者或服務主體。 工作區管理員可以將作業執行身分設定變更為其工作區中具有 服務主體使用者 角色的服務主體,或變更為其工作區中的任何使用者。
帳戶管理員可以設定稱為 RestrictWorkspaceAdmins 的工作區設定,以限制工作區管理員只將作業擁有者變更為本身,並將作業執行身分設定為具有 服務主體使用者 角色的服務主體。
若要啟用 RestrictWorkspaceAdmins 設定,您必須是帳戶管理員,而且必須是您想要限制的工作區成員。 下列範例使用 Databricks CLI v0.215.0。
此 RestrictWorkspaceAdmins 設定會使用 etag 欄位來確保一致性。 若要開啟或停用設定,請先發出 GET 以回應 etag 接收 。 您可以使用 來更新設定 etag。 例如:
databricks settings restrict-workspace-admins get
範例回應:
{
"etag":"<etag>",
"restrict_workspace_admins": {
"status":"ALLOW_ALL"
},
"setting_name":"default"
}
etag從回應本文複製欄位,並使用它來更新RestrictWorkspaceAdmins設定。 例如:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
範例回應:
{
"etag":"<response-etag>",
"restrict_workspace_admins": {
"status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name":"default"
}
若要停用將 RestrictWorkspaceAdmins 狀態設定為 ALLOW_ALL。
您也可以使用限制工作區 管理員 API 或 Databricks Terraform 提供者。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: