Restringir administradores de workspace
A configuração RestrictWorkspaceAdmins permite que os administradores account restrinjam as permissões de administrador workspace . Possui dois campos independentes:
status: Impede que os administradores workspace alterem a propriedade de trabalhos, consultas, alertas legados e painéis legados para outros usuários ou entidades de serviço.disable_gov_tag_creation: Impede que os administradores workspace criem tags governadas.
Alterar um campo não afeta o outro.
O campo status também impede que os administradores workspace criem access tokens pessoal para entidades de serviço nas quais o administrador workspace não tenha a função de usuário de entidade de serviço .
Restringir permissões de propriedade e tokens
O campo status possui dois valores possíveis:
ALLOW_ALLSignifica que o campo está desativado e os administradores workspace podem executar todas as ações listadas em permissões padrão.RESTRICT_TOKENS_AND_JOB_RUN_ASSignifica que o campo está habilitado e os administradores workspace estão restritos às ações listadas em Permissões restritas.
permissões padrão
Quando status é definido como ALLOW_ALL, os administradores workspace têm as seguintes permissões:
-
É possível alterar o proprietário de um trabalho para qualquer usuário ou entidade de serviço em workspace.
-
Pode atualizar a execução de um trabalho como configuração para qualquer usuário em seu site workspace ou para qualquer entidade de serviço em que tenha a função de usuário da entidade de serviço .
-
É possível alterar o proprietário de uma consulta para qualquer usuário em seu workspace.
-
É possível alterar o proprietário de um alerta legado para qualquer usuário em seu workspace.
-
Pode criar tokens de acesso pessoal em nome de qualquer entidade de serviço em seu site workspace.
Permissões restritas
Quando status é definido como RESTRICT_TOKENS_AND_JOB_RUN_AS, os administradores workspace têm as seguintes permissões:
-
Só é possível alterar o proprietário de uma tarefa, consulta, alerta legado ou painel legado para si mesmo.
-
Pode atualizar a execução de um trabalho como configuração para si mesmo ou para qualquer entidade de serviço em que tenha a função de usuário da entidade de serviço.
-
Só é possível criar tokens de acesso pessoal para a entidade de serviço se o usuário tiver a função de usuário da entidade de serviço .
Ativar ou desativar
Para ativar ou desativar o campo status , você precisa ser um administrador account e um membro do workspace que deseja restringir. O exemplo a seguir utiliza a CLI do Databricks v0.215.0.
A configuração RestrictWorkspaceAdmins usa um campo etag para garantir a consistência. Para ativar ou desativar a configuração, primeiro emita um GET para receber um etag em resposta. Você pode atualizar a configuração usando o etag. Por exemplo:
databricks settings restrict-workspace-admins get
Resposta de exemplo:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL"
},
"setting_name": "default"
}
Copie o campo etag do corpo da resposta e use-o para atualizar a configuração RestrictWorkspaceAdmins. Por exemplo:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Resposta de exemplo:
{
"etag": "<response-etag>",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name": "default"
}
Para desativar este campo, defina status como ALLOW_ALL.
Você também pode usar a API Restringir Administradores do Workspace ou o provedor Terraform do Databricks.
Impedir que administradores workspace criem tagsgovernadas
Por default, os administradores workspace têm permissão para criar tags gerenciadas. Os administradores da conta podem revogar esta permissão definindo o campo disable_gov_tag_creation na configuração RestrictWorkspaceAdmins . Quando disable_gov_tag_creation está definido como verdadeiro, os administradores workspace não podem mais criar tags controladas, a menos que um administrador account lhes conceda explicitamente a permissão CRIAR. Consulte a seção sobre gerenciamento de permissões em tagscontroladas.
Este campo está limitado a um único workspace e só pode ser modificado pelos administradores account . Para desativar a criação tag controladas em todos os espaços de trabalho de uma account, os administradores account devem aplicar essa configuração a cada workspace individualmente.
disable_gov_tag_creation Deve ser configurado usando a API ou a CLI. O exemplo a seguir mostra como configurar essa opção usando a CLI do Databricks.
A configuração RestrictWorkspaceAdmins usa um campo etag para garantir a consistência. Primeiro, use o seguinte comando da CLI para obter o etag e o valor atual da configuração:
databricks settings restrict-workspace-admins get
Resposta de exemplo:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL",
"disable_gov_tag_creation": false
},
"setting_name": "default"
}
Copie o etag da resposta. Em seguida, use este comando da CLI para ativar a configuração:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"disable_gov_tag_creation": true,
"status": "ALLOW_ALL"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.disable_gov_tag_creation"
}'
Para permitir novamente que os administradores workspace criem tags governadas, defina disable_gov_tag_creation como false.