Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'impostazione RestrictWorkspaceAdmins consente agli amministratori dell'account di limitare le autorizzazioni di amministratore dell'area di lavoro. Ha due campi indipendenti:
-
status: Impedisce agli amministratori dell'area di lavoro di modificare la proprietà di processi, query, avvisi legacy e dashboard legacy ad altri utenti o principali di servizio. -
disable_gov_tag_creation: impedisce agli amministratori dell'area di lavoro di creare tag regolati.
La modifica di un campo non influisce sull'altra.
Restrizioni alla proprietà e alle autorizzazioni dei token
Il status campo ha due valori possibili:
-
ALLOW_ALLsignifica che il campo è disabilitato e gli amministratori dell'area di lavoro possono eseguire tutte le azioni elencate in Autorizzazioni predefinite. -
RESTRICT_TOKENS_AND_JOB_RUN_ASsignifica che il campo è abilitato e gli amministratori dell'area di lavoro sono limitati alle azioni elencate in Autorizzazioni limitate.
Autorizzazioni predefinite
Quando status è impostato su ALLOW_ALL, gli amministratori dell'area di lavoro hanno le autorizzazioni seguenti:
- Può modificare un proprietario di un lavoro in qualsiasi utente o principale del servizio nell'area di lavoro.
- Può aggiornare l'impostazione Esegui come di un'attività a qualsiasi utente nella loro area di lavoro o a qualsiasi principale del servizio per il quale ha il ruolo di Utente Principale del Servizio.
- Può modificare il proprietario di una query in qualsiasi utente nell'area di lavoro.
- Può modificare il proprietario di un avviso legacy in qualsiasi utente nell'area di lavoro.
Autorizzazioni limitate
Quando status è impostato su RESTRICT_TOKENS_AND_JOB_RUN_AS, gli amministratori dell'area di lavoro hanno le autorizzazioni seguenti:
- Può solo modificare un processo, una query, un avviso legacy o il proprietario del dashboard legacy in se stessi.
- Può aggiornare l'impostazione Esegui come di un processo a se stesso o a qualsiasi principale di servizio in cui possiede il ruolo Service Principal User.
Abilitare o disabilitare
Per abilitare o disabilitare il status campo, è necessario essere un amministratore dell'account e un membro dell'area di lavoro da limitare. L'esempio seguente usa l'interfaccia della riga di comando di Databricks v0.215.0.
L'impostazione RestrictWorkspaceAdmins usa un campo etag per garantire la coerenza. Per abilitare o disabilitare l'impostazione, eseguire prima un GET per ricevere un etag in risposta. È possibile aggiornare l'impostazione usando il etag. Per esempio:
databricks settings restrict-workspace-admins get
Risposta di esempio:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL"
},
"setting_name": "default"
}
Copiare il campo etag dal corpo della risposta e usarlo per aggiornare l'impostazione RestrictWorkspaceAdmins. Per esempio:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
Risposta di esempio:
{
"etag": "<response-etag>",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name": "default"
}
Per disabilitare questo campo, impostare status su ALLOW_ALL.
È anche possibile usare 'API Restrict Workspace Admins o il provider Databricks Terraform .
Impedire agli amministratori dell'area di lavoro di creare tag regolamentati
Per impostazione predefinita, gli amministratori dell'area di lavoro dispongono dell'autorizzazione per creare tag regolati. Gli amministratori dell'account possono revocare questa autorizzazione impostando il disable_gov_tag_creation campo nell'impostazione RestrictWorkspaceAdmins . Se disable_gov_tag_creation è impostato su true, gli amministratori dell'area di lavoro non possono più creare tag regolati a meno che un amministratore dell'account non conceda esplicitamente loro l'autorizzazione CREATE. Vedere Gestire le autorizzazioni per i tag regolamentati.
Questo campo ha come ambito una singola area di lavoro e può essere modificato solo dagli amministratori dell'account. Per disabilitare la creazione di tag regolamentati in tutte le aree di lavoro in un account, gli amministratori dell'account devono applicare questa impostazione a ogni area di lavoro singolarmente.
disable_gov_tag_creation deve essere configurato usando l'API o l'interfaccia della riga di comando. L'esempio seguente illustra come configurare l'impostazione usando l'interfaccia della riga di comando di Databricks.
L'impostazione RestrictWorkspaceAdmins usa un campo etag per garantire la coerenza. Per prima cosa, usa il seguente comando CLI per ottenere il valore corrente dell'impostazione:
databricks settings restrict-workspace-admins get
Risposta di esempio:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL",
"disable_gov_tag_creation": false
},
"setting_name": "default"
}
Copiare il valore etag della risposta. Usare quindi questo comando dell'interfaccia della riga di comando per abilitare l'impostazione:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"disable_gov_tag_creation": true,
"status": "ALLOW_ALL"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.disable_gov_tag_creation"
}'
Per consentire nuovamente agli amministratori dell'area di lavoro di creare tag regolamentati, impostare disable_gov_tag_creation su false.