Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment les administrateurs de compte peuvent utiliser le RestrictWorkspaceAdmins paramètre pour limiter les autorisations d’administrateur de l’espace de travail autour des travaux, des requêtes, des alertes héritées et des tableaux de bord hérités.
Autorisations par défaut
Sans activer le paramètre, les administrateurs de l’espace RestrictWorkspaceAdmins de travail disposent des autorisations suivantes :
- Peut remplacer un propriétaire de travail par n’importe quel utilisateur ou principal de service dans son espace de travail.
- Peut mettre à jour le paramètre Exécuter en tant que d'un travail pour n'importe quel utilisateur de leur espace de travail ou pour n'importe quel principal de service où ils ont le rôle d'utilisateur du service principal.
- Peut remplacer un propriétaire de requête par n’importe quel utilisateur de son espace de travail.
- Peut remplacer un propriétaire d’alerte hérité par n’importe quel utilisateur de son espace de travail.
- Peut remplacer un propriétaire de tableau de bord hérité par n’importe quel utilisateur de son espace de travail.
Autorisations restreintes
Après avoir activé le paramètre, les administrateurs de l’espace RestrictWorkspaceAdmins de travail disposent des autorisations suivantes :
- Peut uniquement modifier un travail, une requête, une alerte héritée ou un propriétaire de tableau de bord hérité.
- Peut mettre à jour le paramètre Exécuter en tant que d’un travail sur lui-même ou pour tout principal de service pour lequel ils ont le rôle Utilisateur du Principal de Service.
Activer le paramètre de restriction
Pour activer le RestrictWorkspaceAdmins paramètre, vous devez être administrateur de compte et vous devez être membre de l’espace de travail que vous souhaitez restreindre. L’exemple suivant utilise l’interface CLI Databricks v0.215.0.
Le RestrictWorkspaceAdmins paramètre utilise un etag champ pour garantir la cohérence. Pour activer ou désactiver le paramètre, commencez par émettre un GET message pour recevoir une etag réponse. Vous pouvez mettre à jour le paramètre à l’aide du etag. Par exemple:
databricks settings restrict-workspace-admins get
Exemple de réponse :
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL"
},
"setting_name": "default"
}
Copiez le etag champ du corps de la réponse et utilisez-le pour mettre à jour le RestrictWorkspaceAdmins paramètre. Par exemple:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Exemple de réponse :
{
"etag": "<response-etag>",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name": "default"
}
Pour désactiver le RestrictWorkspaceAdmins, définissez le statut sur ALLOW_ALL.
Vous pouvez également utiliser l’API Restrict Workspace Admins ou le fournisseur Databricks Terraform.