Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo explica como os administradores de contas podem usar a RestrictWorkspaceAdmins configuração para limitar permissões de administradores de espaço de trabalho em relação a tarefas, consultas, e componentes legados como alertas e dashboards.
Permissões padrão
Sem habilitar a configuração RestrictWorkspaceAdmins, os administradores do espaço de trabalho têm as seguintes permissões:
- Podem alterar o proprietário de uma tarefa para qualquer utilizador ou entidade de serviço no seu espaço de trabalho.
- Pode atualizar a configuração Executar como de um trabalho para qualquer usuário em seu espaço de trabalho ou para qualquer entidade de serviço onde eles tenham a função Usuário Principal de Serviço .
- Pode alterar o proprietário da consulta para qualquer utilizador no seu espaço de trabalho.
- Pode alterar o proprietário de um alerta legado para qualquer utilizador no seu espaço de trabalho.
- Pode mudar o proprietário de um dashboard antigo para qualquer utilizador no seu espaço de trabalho.
Permissões restritas
Depois de habilitar a configuração RestrictWorkspaceAdmins, os administradores do espaço de trabalho têm as seguintes permissões:
- Só pode alterar um job, query, alerta legado ou proprietário de dashboard legado para si próprio.
- Pode atualizar a configuração Executar como de um trabalho para si próprio ou para qualquer entidade de serviço em que tenha a função de Utilizador Principal de Serviço.
Ativar a configuração de restrição
Para habilitar a configuração RestrictWorkspaceAdmins, você deve ser um administrador de conta e um membro do espaço de trabalho que deseja restringir. O exemplo a seguir usa a CLI Databricks v0.215.0.
A configuração RestrictWorkspaceAdmins usa um campo etag para garantir a consistência. Para habilitar ou desabilitar a configuração, primeiro emita um GET para receber um etag em resposta. Você pode atualizar a configuração usando o etag. Por exemplo:
databricks settings restrict-workspace-admins get
Exemplo de resposta:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL"
},
"setting_name": "default"
}
Copie o campo etag do corpo da resposta e use-o para atualizar a configuração RestrictWorkspaceAdmins. Por exemplo:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Exemplo de resposta:
{
"etag": "<response-etag>",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name": "default"
}
Para desativar o RestrictWorkspaceAdmins defina o status como ALLOW_ALL.
Você também pode usar a API para Restringir Administradores de Espaço de Trabalho ou o provedor Terraform do Databricks .