Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Kontoadministratoren die RestrictWorkspaceAdmins Einstellung verwenden können, um Arbeitsbereichsadministratorberechtigungen für Aufträge, Abfragen, ältere Warnungen und Legacydashboards einzuschränken.
Standardberechtigungen
Ohne die Einstellung zu aktivieren RestrictWorkspaceAdmins , verfügen Arbeitsbereichsadministratoren über die folgenden Berechtigungen:
- Kann einen Auftragsinhaber in einen beliebigen Benutzer oder Dienstprinzipal in ihrem jeweiligen Arbeitsbereich ändern.
- Kann die Run as-Einstellung eines Auftrags für jeden Benutzer in seinem Arbeitsbereich oder für jeden Dienstprinzipal aktualisieren, bei dem er über die Rolle Dienstprinzipalbenutzer verfügt.
- Kann den Abfragebesitzer auf jeden Benutzer in ihrem Arbeitsbereich ändern.
- Kann einen Legacy-Warnungseigentümer auf einen beliebigen Benutzer in deren Arbeitsbereich ändern.
- Der Inhaber eines Legacy-Dashboards kann auf jeden beliebigen Benutzer in seinem Arbeitsbereich geändert werden.
Eingeschränkte Berechtigungen
Nach dem Aktivieren der RestrictWorkspaceAdmins Einstellung verfügen Arbeitsbereichsadministratoren über die folgenden Berechtigungen:
- Kann nur einen Job, eine Abfrage, eine Legacy-Benachrichtigung oder einen Legacy-Dashboardbesitzer auf sich selbst ändern.
- Kann die Ausführen als-Einstellung eines Auftrags auf sich selbst oder bei einem beliebigen Dienstprinzipal aktualisieren, für den sie die Rolle Dienstprinzipalbenutzer besitzen.
Aktivieren der Einschränkungseinstellung
Um die RestrictWorkspaceAdmins Einstellung zu aktivieren, müssen Sie ein Kontoadministrator sein und Mitglied des Arbeitsbereichs sein, den Sie einschränken möchten. Im folgenden Beispiel wird die Databricks CLI v0.215.0 verwendet.
Die RestrictWorkspaceAdmins Einstellung verwendet ein etag Feld, um die Konsistenz sicherzustellen. Um die Einstellung zu aktivieren oder zu deaktivieren, geben Sie zunächst einen GET ein, um eine etag zu erhalten. Sie können die Einstellung mithilfe der etag. Beispiel:
databricks settings restrict-workspace-admins get
Beispielantwort:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL"
},
"setting_name": "default"
}
Kopieren Sie das etag Feld aus dem Antworttext, und verwenden Sie es, um die RestrictWorkspaceAdmins Einstellung zu aktualisieren. Beispiel:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Beispielantwort:
{
"etag": "<response-etag>",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name": "default"
}
Um den RestrictWorkspaceAdmins zu deaktivieren, setzen Sie den Status auf ALLOW_ALL.
Sie können auch die API "Arbeitsbereichsadministratoren einschränken " oder den Databricks Terraform-Anbieter verwenden.