ワークスペース管理者を制限する

デフォルトでは、ワークスペース管理者はジョブ所有者をワークスペース内の任意のユーザーまたはサービスプリンシパルに変更できます。 ワークスペース管理者は、サービスプリンシパル ユーザー ロールを持つサービス プリンシパル、またはワークスペース内の任意のユーザーにジョブの実行設定を変更できます。

ワークスペース管理者は、デフォルトでワークスペース内のサービスプリンシパルに代わって個人的なアクセスマラソンを作成することもできます。

アカウント管理者は、 RestrictWorkspaceAdminsというワークスペース設定を構成して、ワークスペース管理者がジョブ所有者を自分自身にのみ変更し、サービスプリンシパル ユーザーロールを持つサービスプリンシパルの設定としてジョブを実行することを制限できます。

また、この設定により、ワークスペース管理者は、サービスプリンシパル ユーザーロールを持つサービスプリンシパルの個人アクセスマラソンのみを作成するように制限されます。

RestrictWorkspaceAdmins設定を有効にするには、アカウント管理者であり、制限するワークスペースのメンバーである必要があります。 次の例では、Databricks CLI v0.215.0 を使用します。

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "restrict_workspace_admins": {
        "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    }
  }
}'

RestrictWorkspaceAdminsを無効にするには、上記の例を使用し、ステータスを ALLOW_ALLに設定します。

Restrict ワークスペース Admins APIまたはDatabricks Terraform プロバイダーを使用することもできます。