Pular para o conteúdo principal

Restringir administradores de workspace

Este artigo explica como os administradores do account podem usar a configuração RestrictWorkspaceAdmins para limitar as permissões de administrador do workspace em relação a Job e entidade de serviço.

permissões padrão

Sem ativar a configuração RestrictWorkspaceAdmins, os administradores do workspace têm as seguintes permissões:

  • É possível alterar o proprietário de um trabalho para qualquer usuário ou entidade de serviço em workspace.

  • Pode atualizar a execução de um trabalho como configuração para qualquer usuário em seu site workspace ou para qualquer entidade de serviço em que tenha a função de usuário da entidade de serviço .

  • Pode criar tokens de acesso pessoal em nome de qualquer entidade de serviço em seu site workspace.

Permissões restritas

Depois de ativar a configuração RestrictWorkspaceAdmins, os administradores do workspace têm as seguintes permissões:

  • Só pode alterar o proprietário de um trabalho para si mesmo.

  • Pode atualizar a execução de um trabalho como configuração para si mesmo ou para qualquer entidade de serviço em que tenha a função de usuário da entidade de serviço.

  • Só é possível criar tokens de acesso pessoal para a entidade de serviço se o usuário tiver a função de usuário da entidade de serviço .

Ativar a configuração de restrição

Para ativar a configuração RestrictWorkspaceAdmins , você deve ser administrador da conta e membro do workspace que deseja restringir. O exemplo a seguir usa a CLI do Databricks v0.215.0.

A configuração RestrictWorkspaceAdmins usa um campo etag para garantir a consistência. Para ativar ou desativar a configuração, primeiro emita um GET para receber um etag em resposta. Você pode atualizar a configuração usando o etag. Por exemplo:

Bash
databricks settings restrict-workspace-admins get

Resposta de exemplo:

JSON
{
  "etag": "<etag>",
  "restrict_workspace_admins": {
    "status": "ALLOW_ALL"
  },
  "setting_name": "default"
}

Copie o campo etag do corpo da resposta e use-o para atualizar a configuração RestrictWorkspaceAdmins. Por exemplo:

Bash
databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Resposta de exemplo:

JSON
{
  "etag": "<response-etag>",
  "restrict_workspace_admins": {
    "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name": "default"
}

Para desativar o RestrictWorkspaceAdmins, defina o status como ALLOW_ALL.

Você também pode usar a API Restringir Administradores do Workspace ou o provedor Terraform do Databricks.

Última atualização em