Einschränken von Arbeitsbereichsadministratoren

Standardmäßig können Arbeitsbereichsadministratoren einen Auftragsbesitzer in einen beliebigen Benutzer oder Dienstprinzipal in ihrem Arbeitsbereich ändern. Arbeitsbereichsadministratoren können die Einstellung „Ausführen als“ für einen Auftrag in Dienstprinzipale, für die sie die Rolle Dienstprinzipalbenutzer haben, oder in ein beliebiges Benutzerkonto in ihrem Arbeitsbereich ändern.

Kontoadministratoren können eine Arbeitsbereichseinstellung namens RestrictWorkspaceAdmins konfigurieren, um Arbeitsbereichsadministratoren so einzuschränken, dass sie den Auftragsbesitz nur auf sich selbst und die Einstellung „Ausführen als“ für einen Auftrag nur in einen Dienstprinzipal, für den sie die Rolle Dienstprinzipalbenutzer haben, ändern können.

Die Einstellung RestrictWorkspaceAdmins kann nur von Kontoadministratoren geändert werden, die Mitglied des einzuschränkenden Arbeitsbereichs sind. Im folgenden Beispiel wird die Databricks CLI v0.215.0 verwendet.

Die Einstellung RestrictWorkspaceAdmins verwendet ein etag Feld, um die Konsistenz sicherzustellen. Um die Einstellung zu aktivieren oder zu deaktivieren, geben Sie zunächst GET aus, um etag als Reaktion zu erhalten. Sie können die Einstellung mithilfe etag aktualisieren. Zum Beispiel:

databricks settings restrict-workspace-admins get

Beispielantwort:

{
  "etag":"<etag>",
  "restrict_workspace_admins": {
    "status":"ALLOW_ALL"
  },
  "setting_name":"default"
}

Kopieren Sie das Feld etag aus dem Antworttext, und verwenden Sie es, um die RestrictWorkspaceAdmins Einstellung zu aktualisieren. Zum Beispiel:

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "setting_name": "default",
    "restrict_workspace_admins": {
      "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    },
    "etag": "<etag>"
  },
  "allow_missing": true,
  "field_mask": "restrict_workspace_admins.status"
}'

Beispielantwort:

{
  "etag":"<response-etag>",
  "restrict_workspace_admins": {
    "status":"RESTRICT_TOKENS_AND_JOB_RUN_AS"
  },
  "setting_name":"default"
}

Um RestrictWorkspaceAdmins zu deaktivieren, legen Sie den Status auf ALLOW_ALL fest.

Sie können auch die API zum Einschränken von Arbeitsbereichsadministratoren oder den Databricks Terraform-Anbieter verwenden.