限制工作区管理员

默认情况下，工作区管理员可以将作业所有者更改为他们工作区中的任何用户或服务主体。 工作区管理员可以将作业的“运行方式”设置更改为他们对其具有“服务主体用户”角色的服务主体或他们工作区中的任何用户。

帐户管理员现在可以配置名为 RestrictWorkspaceAdmins 的工作区设置，从而将工作区管理员限制为只能将作业所有者更改为自己，并且只能将作业的“运行方式”设置更改为他们对其具有“服务主体用户”角色的服务主体。

若要启用 RestrictWorkspaceAdmins 设置，你必须是帐户管理员，并且必须是要限制的工作区的成员。 以下示例使用 Databricks CLI v0.215.0。

databricks settings restrict-workspace-admins update --json '{
  "setting": {
    "restrict_workspace_admins": {
        "status": "RESTRICT_TOKENS_AND_JOB_RUN_AS"
    }
  }
}'

若要禁用 RestrictWorkspaceAdmins，请使用上述示例，并将状态设置为 ALLOW_ALL。

还可以使用限制工作区管理员 API 或 Databricks Terraform 提供程序。