Sdílet prostřednictvím

Monitorování a odvolávání osobních přístupových tokenů

  • Článek

Aby se uživatel mohl ověřit v rozhraní AZURE Databricks REST API, může vytvořit osobní přístupový token (PAT) a použít ho v požadavku rest API. Uživatel může také vytvořit instanční objekt a použít ho s osobním přístupovým tokenem k volání rozhraní REST API Služby Azure Databricks v nástrojích CI/CD a automatizaci. Tento článek vysvětluje, jak můžou správci Azure Databricks spravovat osobní přístupové tokeny ve svém pracovním prostoru. Pokud chcete vytvořit osobní přístupový token, přečtěte si téma Ověřování tokenů pat pro Azure Databricks.

Použití OAuth místo osobních přístupových tokenů

Databricks doporučuje místo patů používat přístupové tokeny OAuth, abyste měli lepší zabezpečení a pohodlí. Databricks nadále podporuje paty, ale vzhledem k jejich většímu bezpečnostnímu riziku se doporučuje auditovat aktuální využití PAT vašeho účtu a migrovat uživatele a instanční objekty na přístupové tokeny OAuth. Pokud chcete vytvořit přístupový token OAuth (místo PAT) pro použití s instančním objektem v automatizaci, přečtěte si téma Ověřování přístupu k Azure Databricks pomocí instančního objektu pomocí OAuth (OAuth M2M).

Databricks doporučuje minimalizovat vystavení tokenu pat pomocí následujících kroků:

  1. Nastavte krátkou životnost pro všechny nové tokeny vytvořené ve vašich pracovních prostorech. Životnost by měla být kratší než 90 dnů. Ve výchozím nastavení je maximální životnost všech nových tokenů 730 dnů (dva roky).
  2. Spolupracujte se správci a uživateli pracovního prostoru Azure Databricks a přepněte na tyto tokeny s kratší životností.
  3. Odvoláte všechny dlouhodobé tokeny, abyste snížili riziko zneužití těchto starších tokenů v průběhu času. Databricks automaticky odvolá všechny osobní přístupové tokeny pro vaše pracovní prostory Azure Databricks, pokud se token nepoužil 90 nebo více dnů.

Požadavky

Abyste mohli spravovat osobní přístupové tokeny, musíte být správcem.

Správci účtu Azure Databricks mohou monitorovat a odvolávat osobní přístupové tokeny v rámci účtu.

Správci pracovního prostoru Azure Databricks můžou udělat toto:

  • Zakažte osobní přístupové tokeny pro pracovní prostor.
  • Určuje, kteří uživatelé bez oprávnění správce můžou vytvářet tokeny a používat tokeny.
  • Nastavte maximální životnost nových tokenů.
  • Sledujte a zrušte tokeny ve svém pracovním prostoru.

Správa osobních přístupových tokenů ve vašem pracovním prostoru vyžaduje plán Premium.

Monitorování a odvolávání tokenů osobního přístupu v účtu

Důležitý

Tato funkce je ve verzi Public Preview. Pokud se chcete připojit k této verzi Preview, obraťte se na tým účtu Azure Databricks.

Správci účtů mohou monitorovat a odvolávat osobní přístupové tokeny z konzole účtu. Dotazy na monitorování tokenů se spouštějí pouze když správce účtu otevře stránku sestavy tokenů.

  1. Pokud se chcete připojit k této verzi Preview, nejprve se obraťte na tým účtu Azure Databricks.

  2. Jako správce účtu se přihlaste ke konzole účtu .

  3. Na bočním panelu klikněte na Náhledy.

  4. Použijte přepínače ,,a k přepnutí ovládacího prvku do pozice Zapnuto a k povolení Sestavy přístupového tokenu .

    Povolit sestavu přístupového tokenu

  5. Na bočním panelu klikněte na nastavení a Zpráva o tokenech.

    Můžete filtrovat podle vlastníka tokenu, pracovního prostoru, data vytvoření, data vypršení platnosti a data posledního použití tokenu. Pomocí tlačítek v horní části sestavy můžete filtrovat přístupové tokeny pro neaktivní objekty zabezpečení nebo přístupové tokeny bez data vypršení platnosti.

    Zobrazit sestavu osobního přístupového tokenu.

  6. Chcete-li exportovat sestavu do souboru CSV, klikněte na Export.

  7. Pokud chcete token odvolat, vyberte token a klikněte na Odvolat.

    odvolat osobní přístupový token.

Povolení nebo zakázání ověřování osobního přístupového tokenu pro pracovní prostor

Ověřování tokenů pat je ve výchozím nastavení povolené pro všechny pracovní prostory Azure Databricks vytvořené v roce 2018 nebo novějším. Toto nastavení můžete změnit na stránce nastavení pracovního prostoru.

Pokud jsou osobní přístupové tokeny pro pracovní prostor zakázané, nejde použít osobní přístupové tokeny k ověření uživatelům a instančním objektům Azure Databricks a instančním objektům. Když zakážete ověřování pomocí tokenu pat pro pracovní prostor, nebudou odstraněny žádné tokeny. Pokud jsou tokeny později znovu povolené, budou k dispozici všechny tokeny, jejichž platnost nevypršela.

Pokud chcete zakázat přístup k tokenům pro podmnožinu uživatelů, můžete pro pracovní prostor zachovat ověřování pomocí tokenu pat a nastavit jemně odstupňovaná oprávnění pro uživatele a skupiny. Podívejte se , kdo může vytvářet a používat osobní přístupové tokeny.

Upozorňující

Integrace Partner Connect a partnerů vyžadují, aby byly v pracovním prostoru povolené osobní přístupové tokeny.

Zakázání možnosti vytvářet a používat osobní přístupové tokeny pro pracovní prostor:

  1. Přejděte na stránku nastavení.

  2. Klikněte na kartu Upřesnit .

  3. Klikněte na přepínač Osobní přístupové tokeny .

  4. Klikněte na tlačítko Potvrdit.

    Tato změna může trvat několik sekund, než se projeví.

Pomocí rozhraní API konfigurace pracovního prostoru můžete také zakázat osobní přístupové tokeny pracovního prostoru.

Řízení, kdo může vytvářet a používat osobní přístupové tokeny

Správci pracovního prostoru můžou nastavit oprávnění k osobním přístupovým tokenům a kontrolovat, kteří uživatelé, instanční objekty a skupiny můžou vytvářet a používat tokeny. Podrobnosti o konfiguraci oprávnění osobního přístupového tokenu najdete v tématu Správa oprávnění osobního přístupového tokenu.

Nastavení maximální životnosti nových tokenů patu

Ve výchozím nastavení je maximální životnost nových tokenů 730 dnů (dva roky). V pracovním prostoru můžete nastavit kratší maximální životnost tokenu pomocí Databricks CLI nebo rozhraní API konfigurace pracovního prostoru. Tento limit platí jenom pro nové tokeny.

Nastavte maxTokenLifetimeDays maximální dobu životnosti nových tokenů ve dnech jako celé číslo. Příklad:

Databricks CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Rozhraní API pro konfiguraci pracovního prostoru

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Pokud nastavíte maxTokenLifetimeDays na nulu, je možné vytvořit nové tokeny s životností až 730 dnů (dva roky).

Pokud chcete použít zprostředkovatele Databricks Terraform ke správě maximální životnosti nových tokenů v pracovním prostoru, podívejte se na databricks_workspace_conf Prostředek.

Monitorování a odvolávání tokenů v pracovním prostoru

Tato část popisuje, jak správci pracovního prostoru můžou ke správě existujících tokenů v pracovním prostoru použít rozhraní příkazového řádku Databricks. Můžete také použít rozhraní API pro správu tokenů. Databricks automaticky odvolá osobní přístupové tokeny, které se nepoužívaly za 90 nebo více dnů.

Získání tokenů pro pracovní prostor

Získání tokenů pracovního prostoru:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Odstranění (odvolání) tokenu

Pokud chcete token odstranit, nahraďte TOKEN_ID ID tokenu, který chcete odstranit:

databricks token-management delete TOKEN_ID