Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo los administradores de cuentas pueden usar la RestrictWorkspaceAdmins configuración para limitar los permisos de administrador del área de trabajo en torno a trabajos, consultas, alertas heredadas y paneles heredados.
Permisos predeterminados
Sin habilitar la RestrictWorkspaceAdmins configuración, los administradores del área de trabajo tienen los permisos siguientes:
- Puede cambiar el propietario de un trabajo a cualquier usuario o principal de servicio de su espacio de trabajo.
- Puede actualizar la configuración Ejecutar como de un trabajo a cualquier usuario de su área de trabajo o a cualquier principal de servicio en la que tenga el rol Usuario de principal de servicio.
- Puede cambiar el propietario de una consulta a cualquier usuario de su área de trabajo.
- Puede cambiar un propietario de alerta heredado a cualquier usuario de su área de trabajo.
- Puede cambiar el propietario de un panel heredado a cualquier usuario de su área de trabajo.
Permisos restringidos
Después de habilitar la RestrictWorkspaceAdmins configuración, los administradores del área de trabajo tienen los permisos siguientes:
- Solo pueden cambiar a sí mismos como propietarios de un trabajo, una consulta, una alerta heredada o un panel heredado.
- Puede actualizar la configuración Ejecutar como de un trabajo a sí mismo o a cualquier principal de servicio en el que tengan el rol Usuario del Principal de Servicio.
Habilitación de la configuración de restricción
Para habilitar la RestrictWorkspaceAdmins configuración, debe ser administrador de la cuenta y debe ser miembro del área de trabajo que desea restringir. En el ejemplo siguiente se usa la CLI de Databricks v0.215.0.
La RestrictWorkspaceAdmins configuración usa un etag campo para garantizar la coherencia. Para habilitar o deshabilitar la configuración, primero emita un GET para recibir una etag en respuesta. Puede actualizar la configuración mediante el etag. Por ejemplo:
databricks settings restrict-workspace-admins get
Respuesta de ejemplo:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL"
},
"setting_name": "default"
}
Copie el etag campo del cuerpo de la respuesta y úselo para actualizar la RestrictWorkspaceAdmins configuración. Por ejemplo:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Respuesta de ejemplo:
{
"etag": "<response-etag>",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name": "default"
}
Para deshabilitar RestrictWorkspaceAdmins, establezca el estado en ALLOW_ALL.
También puede usar la API Restrict Workspace Admins o el proveedor de Terraform de Databricks.