この記事では、アカウント管理者が RestrictWorkspaceAdmins 設定を使用して、ジョブとサービス プリンシパルに関するワークスペース管理者のアクセス許可を制限する方法について説明します。
既定のアクセス許可
RestrictWorkspaceAdmins設定を有効にしない場合、ワークスペース管理者には次のアクセス許可があります。
- ジョブ所有者をワークスペース内の任意のユーザーまたはサービス プリンシパルに変更できます。
- ジョブの 実行 設定を、ワークスペース内の任意のユーザー、またはサービス プリンシパル ユーザー ロールを持つ任意の サービス プリンシパル に更新できます。
制限付きアクセス許可
RestrictWorkspaceAdmins設定を有効にすると、ワークスペース管理者は次のアクセス許可を持ちます。
- ジョブの所有者のみを自分に変更できます。
- ジョブの 実行 設定を自身またはサービス プリンシパル ユーザー ロールを持つ任意の サービス プリンシパル に更新できます。
制限設定を有効にする
RestrictWorkspaceAdmins 設定を有効にするには、アカウント管理者であり、制限するワークスペースのメンバーである必要があります。 次の例では、Databricks CLI v0.215.0 を使用します。
RestrictWorkspaceAdmins 設定では、一貫性を確保するために etag フィールドを使用します。 最初に GET を発行して応答として etag を受け取ることで、設定を有効または無効にします。
etagを使用して設定を更新できます。 例えば:
databricks settings restrict-workspace-admins get
応答の例:
{
"etag": "<etag>",
"restrict_workspace_admins": {
"status": "ALLOW_ALL"
},
"setting_name": "default"
}
応答本文から etag フィールドをコピーし、それを使用して RestrictWorkspaceAdmins 設定を更新します。 例えば:
databricks settings restrict-workspace-admins update --json '{
"setting": {
"setting_name": "default",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"etag": "<etag>"
},
"allow_missing": true,
"field_mask": "restrict_workspace_admins.status"
}'
応答の例:
{
"etag": "<response-etag>",
"restrict_workspace_admins": {
"status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
},
"setting_name": "default"
}
RestrictWorkspaceAdmins を無効にするには、状態を ALLOW_ALLに設定します。
ワークスペース管理者の制限 API または Databricks Terraform プロバイダーを使用することもできます。