Restringir administradores de workspace

Em default, os administradores de workspace podem alterar um proprietário de Job para qualquer usuário ou entidade de serviço em seu workspace. workspace Os administradores podem alterar a configuração Job execução como para a entidade de serviço na qual eles têm a função de usuário da entidade de serviço ou para qualquer usuário em seu workspace.

workspace Os administradores também podem criar um access token pessoal em nome de qualquer entidade de serviço em seu workspace por meio do default.

account Os administradores podem definir uma configuração em workspace chamada RestrictWorkspaceAdmins para restringir os administradores de workspace a alterarem apenas o proprietário de Job para eles mesmos e a configuração de execução como Job para uma entidade de serviço na qual eles tenham a função de usuário da entidade de serviço.

A configuração também restringe os administradores do workspace a criar apenas um access token pessoal para a entidade de serviço na qual eles têm a função de usuário da entidade de serviço.

Para ativar a configuração RestrictWorkspaceAdmins, o senhor deve ser um administrador do site account e deve ser membro do site workspace que deseja restringir. O exemplo a seguir usa a CLI do Databricks v0.215.0.

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "restrict_workspace_admins": {
        "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    }
  }
}'

Para desativar o RestrictWorkspaceAdmins, use o exemplo acima e defina o status como ALLOW_ALL.

O senhor também pode usar a API Restrict Workspace Admins ou o provedor Databricks Terraform.