ワークスペース管理者を制限する

デフォルトにより、ワークスペース管理者はジョブの所有者を自分のワークスペース内の任意のユーザーまたはサービスプリンシパルに変更できます。 ワークスペース管理者は、ワークスペースのユーザーロールを持つサービスプリンシパルまたは任意のユーザーに対して、ジョブ実行の設定をサービスプリンシパルに変更できます。

ワークスペース管理者は、自分のワークスペース内のサービス プリンシパルに代わって個人用のアクセストークンを作成することもできます。

アカウント管理者は、 RestrictWorkspaceAdminsというワークスペース設定を構成して、ワークスペース管理者がジョブ所有者を自分自身にのみ変更し、ジョブ実行設定を自分がユーザーロールを持つサービスプリンシパルに変更することを制限できます。

また、この設定により、ワークスペース管理者は、サービスプリンシパル ユーザー ロールを持つサービスプリンシパルの個人用アクセストークンのみを作成できるように制限されます。

RestrictWorkspaceAdmins設定を有効にするには、アカウント管理者であり、制限するワークスペースのメンバーである必要があります。 次の例では、Databricks CLI v0.215.0 を使用します。

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "restrict_workspace_admins": {
        "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    }
  }
}'

RestrictWorkspaceAdminsを無効にするには、上記の例を使用し、ステータスを ALLOW_ALLに設定します。

Restrict ワークスペース Admins APIまたはDatabricks Terraformプロバイダーを使用することもできます。