本文說明帳戶管理員如何利用此 RestrictWorkspaceAdmins 設定限制工作區管理員權限,涵蓋工作、查詢、舊有警示及舊有儀表板。
預設權限
若未啟用 RestrictWorkspaceAdmins 設定,工作區管理員具有下列許可權:
- 可以將作業擁有者變更為其工作區中的任何用戶或服務主體。
- 可以將作業的 執行身分設定更新為其工作區中的任何使用者,或更新為擁有 服務主體使用者角色的任何服務主體。
- 可以將查詢擁有者更改為工作空間中的任何使用者。
- 可以將 舊有警報 擁有者變更為工作空間中的任何使用者。
- 可以將 舊版儀表板 的擁有者更改為其工作空間中的任何使用者。
限制許可權
啟用 RestrictWorkspaceAdmins 設定之後,工作區管理員具有下列許可權:
- 只能更改工作、查詢、遺留警示或遺留儀表板的擁有者為自己。
- 可以將作業的 執行身分 設定更新為自己,或者更新為具有 服務主體使用者 角色的任何服務主體。
啟用限制設定
若要啟用 RestrictWorkspaceAdmins 設定,您必須是帳戶管理員,而且必須是您想要限制的工作區成員。 下列範例使用 Databricks CLI v0.215.0。
RestrictWorkspaceAdmins 設定會使用 etag 字段來確保一致性。 若要啟用或停用設定,請先發出 GET 來接收回應中的 etag。 您可以使用 etag來更新設定。 例如:
databricks settings restrict-workspace-admins get
範例回應:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL"
},
"setting_name": "default"
}
從回應本文複製 etag 字段,並使用它來更新 RestrictWorkspaceAdmins 設定。 例如:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
範例回應:
{
"etag": "<response-etag>",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name": "default"
}
若要停用 RestrictWorkspaceAdmins 將狀態設定為 ALLOW_ALL。
您也可以使用 限制工作區系統管理員 API 或 Databricks Terraform 提供套件。