ワークスペース管理者を制限する
デフォルトにより、ワークスペース管理者はジョブの所有者を自分のワークスペース内の任意のユーザーまたはサービスプリンシパルに変更できます。 ワークスペース管理者は、ワークスペースのユーザーロールを持つサービスプリンシパルまたは任意のユーザーに対して、ジョブ実行の設定をサービスプリンシパルに変更できます。
ワークスペース管理者は、自分のワークスペース内のサービス プリンシパルに代わって個人用のアクセストークンを作成することもできます。
アカウント管理者は、 RestrictWorkspaceAdmins
というワークスペース設定を構成して、ワークスペース管理者がジョブ所有者を自分自身にのみ変更し、ジョブ実行設定を自分がユーザーロールを持つサービスプリンシパルに変更することを制限できます。
また、この設定により、ワークスペース管理者は、サービスプリンシパル ユーザー ロールを持つサービスプリンシパルの個人用アクセストークンのみを作成できるように制限されます。
RestrictWorkspaceAdmins
設定を有効にするには、アカウント管理者であり、制限するワークスペースのメンバーである必要があります。 次の例では、Databricks CLI v0.215.0 を使用します。
databricks settings restrict-workspace-admins update --json '{
"setting": {
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
}
}
}'
RestrictWorkspaceAdmins
を無効にするには、上記の例を使用し、ステータスを ALLOW_ALL
に設定します。
Restrict ワークスペース Admins APIまたはDatabricks Terraformプロバイダーを使用することもできます。