Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der RestrictWorkspaceAdmins Einstellung können Kontoadministratoren Arbeitsbereichsadministratorberechtigungen einschränken. Es verfügt über zwei unabhängige Felder:
-
status: Verhindert, dass Arbeitsbereichsadministratoren die Eigentümerschaft von Aufträgen, Abfragen, Legacy-Warnungen und Legacy-Dashboards auf andere Benutzer oder Dienstprinzipale übertragen. -
disable_gov_tag_creation: Verhindert, dass Arbeitsbereichsadministratoren geregelte Tags erstellen.
Das Ändern eines Felds wirkt sich nicht auf das andere aus.
Einschränken von Besitz- und Token-Rechten
Das status Feld weist zwei mögliche Werte auf:
-
ALLOW_ALLbedeutet, dass das Feld deaktiviert ist und Arbeitsbereichsadministratoren alle unter "Standardberechtigungen" aufgeführten Aktionen ausführen können. -
RESTRICT_TOKENS_AND_JOB_RUN_ASbedeutet, dass das Feld aktiviert ist, und Arbeitsbereichsadministratoren auf Aktionen beschränkt sind, die unter eingeschränkten Berechtigungen aufgeführt sind.
Standardberechtigungen
Wenn status auf ALLOW_ALL aktiviert ist, verfügen die Arbeitsbereichsadministratoren über die folgenden Berechtigungen:
- Kann einen Auftragsinhaber in einen beliebigen Benutzer oder Dienstprinzipal in ihrem jeweiligen Arbeitsbereich ändern.
- Kann die Run as-Einstellung eines Auftrags für jeden Benutzer in seinem Arbeitsbereich oder für jeden Dienstprinzipal aktualisieren, bei dem er über die Rolle Dienstprinzipalbenutzer verfügt.
- Kann den Abfragebesitzer auf jeden Benutzer in ihrem Arbeitsbereich ändern.
- Kann einen Legacy-Warnungseigentümer auf einen beliebigen Benutzer in deren Arbeitsbereich ändern.
Eingeschränkte Berechtigungen
Wenn status auf RESTRICT_TOKENS_AND_JOB_RUN_AS gesetzt ist, verfügen Arbeitsbereichsadministratoren über die folgenden Berechtigungen:
- Kann nur einen Job, eine Abfrage, eine Legacy-Benachrichtigung oder einen Legacy-Dashboardbesitzer auf sich selbst ändern.
- Kann die Ausführen als-Einstellung eines Auftrags auf sich selbst oder bei einem beliebigen Dienstprinzipal aktualisieren, für den sie die Rolle Dienstprinzipalbenutzer besitzen.
Aktivieren oder Deaktivieren
Um das status Feld zu aktivieren oder zu deaktivieren, müssen Sie ein Kontoadministrator und ein Mitglied des Arbeitsbereichs sein, den Sie einschränken möchten. Im folgenden Beispiel wird die Databricks CLI v0.215.0 verwendet.
Die RestrictWorkspaceAdmins Einstellung verwendet ein etag Feld, um die Konsistenz sicherzustellen. Um die Einstellung zu aktivieren oder zu deaktivieren, geben Sie zunächst einen GET ein, um eine etag zu erhalten. Sie können die Einstellung mithilfe der etag. Beispiel:
databricks settings restrict-workspace-admins get
Beispielantwort:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL"
},
"setting_name": "default"
}
Kopieren Sie das etag Feld aus dem Antworttext, und verwenden Sie es, um die RestrictWorkspaceAdmins Einstellung zu aktualisieren. Beispiel:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Beispielantwort:
{
"etag": "<response-etag>",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name": "default"
}
Um dieses Feld zu deaktivieren, legen Sie status auf ALLOW_ALL fest.
Sie können auch die API "Arbeitsbereichsadministratoren einschränken " oder den Databricks Terraform-Anbieter verwenden.
Verhindern, dass Arbeitsbereichsadministratoren geregelte Tags erstellen
Standardmäßig verfügen Arbeitsbereichsadministratoren über die Berechtigung zum Erstellen geregelter Tags. Kontoadministratoren können diese Berechtigung widerrufen, indem Sie das disable_gov_tag_creation Feld für die RestrictWorkspaceAdmins Einstellung festlegen. Wenn disable_gov_tag_creation "true" festgelegt ist, können Arbeitsbereichsadministratoren keine geregelten Tags mehr erstellen, es sei denn, ein Kontoadministrator erteilt ihnen explizit die CREATE-Berechtigung. Siehe "Verwalten von Berechtigungen für geregelte Tags".
Dieses Feld ist auf einen einzelnen Arbeitsbereich festgelegt und kann nur von Kontoadministratoren geändert werden. Um die gesteuerte Tagerstellung für alle Arbeitsbereiche in einem Konto zu deaktivieren, müssen Kontoadministratoren diese Einstellung für jeden Arbeitsbereich einzeln anwenden.
disable_gov_tag_creation muss mit der API oder CLI konfiguriert werden. Das folgende Beispiel zeigt, wie Sie die Einstellung mithilfe der Databricks CLI konfigurieren.
Die RestrictWorkspaceAdmins Einstellung verwendet ein etag Feld, um die Konsistenz sicherzustellen. Verwenden Sie zunächst den folgenden CLI-Befehl, um den etag aktuellen Wert der Einstellung abzurufen:
databricks settings restrict-workspace-admins get
Beispielantwort:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL",
"disable_gov_tag_creation": false
},
"setting_name": "default"
}
Kopieren Sie etag aus der Antwort. Verwenden Sie dann diesen CLI-Befehl, um die Einstellung zu aktivieren:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"disable_gov_tag_creation": true,
"status": "ALLOW_ALL"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.disable_gov_tag_creation"
}'
Um Arbeitsbereichs-Administratoren das Erstellen von gesteuerten Tags erneut zu erlauben, setzen Sie disable_gov_tag_creation auf false.