Begränsa administratörer för arbetsytor

Som standard kan arbetsyteadministratörer ändra en jobbägare till valfri användare eller tjänsthuvudnamn på arbetsytan. Arbetsyteadministratörer kan ändra jobbkörningen som inställning till tjänstens huvudnamn som de har användarrollen Tjänsthuvudnamn på eller till någon användare på arbetsytan.

Kontoadministratörer kan konfigurera en arbetsyteinställning som anropas RestrictWorkspaceAdmins för att begränsa arbetsyteadministratörer till att endast ändra en jobbägare till sig själva och jobbet körs som inställning till ett tjänsthuvudnamn som de har rollen Tjänsthuvudnamnsanvändare på.

Om du vill aktivera inställningen RestrictWorkspaceAdmins måste du vara kontoadministratör och vara medlem i den arbetsyta som du vill begränsa. I följande exempel används Databricks CLI v0.215.0.

Inställningen RestrictWorkspaceAdmins använder ett etag fält för att säkerställa konsekvens. Om du vill aktivera eller inaktivera inställningen måste du först utfärda ett GET för att ta emot ett etag svar. Du kan uppdatera inställningen med hjälp av etag. Till exempel:

databricks settings restrict-workspace-admins get

Exempelsvar:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Kopiera fältet etag från svarstexten och använd det för att uppdatera inställningen RestrictWorkspaceAdmins . Till exempel:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Exempelsvar:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Så här inaktiverar RestrictWorkspaceAdmins du statusen till ALLOW_ALL.

Du kan också använda API:et Begränsa arbetsyteadministratörer eller Databricks Terraform-providern.