Freigeben über

Überwachen und Widerrufen von persönlichen Zugriffstoken

  • Artikel

Um sich bei der Rest-API von Azure Databricks zu authentifizieren, kann ein Benutzer ein persönliches Zugriffstoken (PERSONAL Access Token, PAT) erstellen und in seiner REST-API-Anforderung verwenden. Ein Benutzer kann auch einen Dienstprinzipal erstellen und mit einem persönlichen Zugriffstoken verwenden, um Azure Databricks-REST-APIs in seinen CI/CD-Tools und -Automatisierungen aufzurufen. In diesem Artikel wird erläutert, wie Azure Databricks-Administratoren persönliche Zugriffstoken in ihrem Arbeitsbereich verwalten können. Informationen zum Erstellen eines persönlichen Zugriffstoken finden Sie unter Authentifizierung mit persönlichem Azure Databricks-Zugriffstoken.

Verwenden von OAuth anstelle von persönlichen Zugriffstoken

Databricks empfiehlt, OAuth-Zugriffstoken anstelle von PATs für mehr Sicherheit und Komfort zu verwenden. Databricks unterstützt weiterhin PATs, aber aufgrund ihres größeren Sicherheitsrisikos wird empfohlen, die aktuelle PAT-Nutzung Ihres Kontos zu überwachen und Ihre Benutzer und Dienstprinzipale zu OAuth-Zugriffstoken zu migrieren. Informationen zum Erstellen eines OAuth-Zugriffstokens (anstelle eines PAT) zur Verwendung mit einem Dienstprinzipal in der Automatisierung finden Sie unter Authentifizierung des Zugriffs bei Azure Databricks mit einem Dienstprinzipal unter Verwendung von OAuth (OAuth M2M).

Databricks empfiehlt Ihnen, Ihre persönliche Zugriffstokenexposition mit den folgenden Schritten zu minimieren:

  1. Legen Sie eine kurze Lebensdauer für alle neuen Token fest, die in Ihren Arbeitsbereichen erstellt wurden. Die Lebensdauer sollte weniger als 90 Tage betragen. Standardmäßig beträgt die maximale Lebensdauer für alle neuen Token 730 Tage (zwei Jahre).
  2. Arbeiten Sie mit Ihren Azure Databricks-Arbeitsbereichsadministratoren und -Benutzern zusammen, um zu diesen Token mit kürzeren Lebensdauern zu wechseln.
  3. Widerrufen Sie alle langlebigen Token, um das Risiko zu verringern, dass diese älteren Token im Laufe der Zeit missbraucht werden. Databricks widerruft automatisch alle PATs für Ihre Azure Databricks-Arbeitsbereiche, wenn das Token in 90 oder mehr Tagen nicht verwendet wurde.

Anforderungen

Sie müssen ein Administrator sein, um persönliche Zugriffstoken zu verwalten.

Azure Databricks-Kontoadministratoren können persönliche Zugriffstoken im gesamten Konto überwachen und widerrufen.

Azure Databricks-Arbeitsbereichsadministratoren können folgende Aktionen ausführen:

  • Deaktivieren Sie persönliche Zugriffstoken für einen Arbeitsbereich.
  • Steuern, welche Benutzer, die keine Administratoren sind, Token erstellen und Token verwenden können.
  • Legen Sie eine maximale Lebensdauer für neue Token fest.
  • Überwachen und Widerrufen von Token in ihrem Arbeitsbereich.

Für die Verwaltung von persönlichen Zugriffstoken in Ihrem Arbeitsbereich ist der Premium-Planerforderlich.

Überwachen und Widerrufen von persönlichen Zugriffstoken im Konto

Wichtig

Dieses Feature befindet sich in Public Preview. Wenden Sie sich an Ihr Azure Databricks-Kontoteam, um dieser Vorschau beizutreten.

Kontoadministratoren können persönliche Zugriffstoken über die Kontokonsole überwachen und widerrufen. Die Abfragen zum Überwachen von Token werden nur ausgeführt, wenn ein Kontoadministrator die Tokenberichtseite verwendet.

  1. Um dieser Vorschau beizutreten, wenden Sie sich zuerst an Ihr Azure Databricks-Kontoteam.

  2. Melden Sie sich als Kontoadministrator bei der Kontokonsolean.

  3. Klicken Sie in der Seitenleiste auf Vorschauen.

  4. Verwenden Sie die Umschalter Schalten Sie das Steuerelement in die Position „Ein“ um., um den Zugriffstokenbericht zu aktivieren.

    Zugriffstokenbericht aktivieren.

  5. Klicken Sie in der Randleiste auf Einstellungen und Tokenbericht.

    Sie können nach Dem Tokenbesitzer, Arbeitsbereich, Erstellungsdatum, Ablaufdatum und Datum filtern, an dem das Token zuletzt verwendet wurde. Verwenden Sie die Schaltflächen oben im Bericht, um nach Zugriffstoken für inaktive Prinzipale oder Zugriffstoken ohne Ablaufdatum zu filtern.

    Anzeigen eines Persönlichen Zugriffstokenberichts.

  6. Um einen Bericht in eine CSV-Datei zu exportieren, klicken Sie auf Exportieren.

  7. Um ein Token zu widerrufen, wählen Sie ein Token aus, und klicken Sie auf Widerrufen.

    Widerrufen eines persönlichen Zugriffstokens.

Aktivieren oder Deaktivieren der Authentifizierung mit persönlichen Zugriffstoken für den Arbeitsbereich

Die Authentifizierung mit persönlichen Zugriffstoken ist standardmäßig für alle Azure Databricks-Arbeitsbereiche aktiviert, die in 2018 oder später erstellt wurden. Sie können diese Einstellung auf der Seite mit den Arbeitsbereichseinstellungen ändern.

Wenn persönliche Zugriffstoken für einen Arbeitsbereich deaktiviert sind, können sie nicht zur Authentifizierung bei Azure Databricks verwendet werden, und Arbeitsbereichsbenutzer und Dienstprinzipale können keine neuen Token erstellen. Wenn Sie die Authentifizierung mit persönlichen Zugriffstoken für einen Arbeitsbereich deaktivieren, werden keine Token gelöscht. Wenn Token später erneut aktiviert werden, stehen alle nicht abgelaufenen Token zur Verwendung zur Verfügung.

Wenn Sie den Tokenzugriff für ein Gruppe von Benutzer deaktivieren möchten, können Sie die Authentifizierung mit persönlichen Zugriffstoken für den Arbeitsbereich aktiviert lassen und fein abgestufte Berechtigungen für Benutzer und Gruppen festlegen. Sehen Sie sich "Steuern" an, wer persönliche Zugriffstoken erstellen und verwenden kann.

Warnung

Partner Connect und Partnerintegrationen erfordern, dass persönliche Zugriffstoken in einem Arbeitsbereich aktiviert werden.

So deaktivieren Sie die Möglichkeit, persönliche Zugriffstoken für den Arbeitsbereich zu erstellen und zu verwenden:

  1. Navigieren Sie zur Seite Einstellungen.

  2. Klicken Sie auf die Registerkarte Erweitert.

  3. Klicken Sie auf die Umschaltfläche Persönliche Zugriffstoken.

  4. Klicken Sie auf Confirm (Bestätigen).

    Es kann einige Sekunden dauern, bis diese Änderung wirksam wird.

Sie können die Arbeitsbereichskonfigurations-API auch verwenden, um persönliche Zugriffstoken für den Arbeitsbereich zu deaktivieren.

Steuern, wer persönliche Zugriffstoken erstellen und verwenden kann

Arbeitsbereichsadministratoren können Berechtigungen für persönliche Zugriffstoken festlegen, um zu steuern, welche Benutzer, Dienstprinzipale und Gruppen Token erstellen und verwenden können. Ausführliche Informationen zum Konfigurieren von Berechtigungen für persönliche Zugriffstoken finden Sie unter Verwalten von Berechtigungen für persönliche Zugriffstoken.

Maximale Lebensdauer neuer persönlicher Zugriffstoken festlegen

Standardmäßig beträgt die maximale Lebensdauer neuer Token 730 Tage (zwei Jahre). Sie können eine kürzere maximale Tokenlebensdauer in Ihrem Arbeitsbereich mithilfe der Databricks CLI- oder der Workspace-Konfigurations-APIfestlegen. Diese Begrenzung gilt nur für neue Token.

Legen Sie maxTokenLifetimeDays auf die maximale Tokengültigkeitsdauer neuer Token in Tagen (als ganze Zahl) fest. Zum Beispiel:

Databricks-Befehlszeilenschnittstelle

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Arbeitsbereichskonfigurations-API

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Wenn Sie die maxTokenLifetimeDays auf Null festlegen, können neue Token mit einer Lebensdauer von bis zu 730 Tagen (zwei Jahre) erstellt werden.

Informationen zur Verwendung des Databricks Terraform-Anbieters zum Verwalten der maximalen Lebensdauer für neue Token in einem Arbeitsbereich finden Sie unter databricks_workspace_conf Ressource.

Überwachen und Widerrufen von Token in Ihrem Arbeitsbereich

In diesem Abschnitt wird beschrieben, wie Arbeitsbereichsadministratoren die Databricks CLI- verwenden können, um vorhandene Token im Arbeitsbereich zu verwalten. Sie können auch die Tokenverwaltungs-APIverwenden. Databricks widerruft automatisch persönliche Zugriffstoken, die in 90 oder mehr Tagen nicht verwendet wurden.

Token für den Arbeitsbereich abrufen

So rufen Sie die Token des Arbeitsbereichs ab:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Löschen (Widerrufen) eines Tokens

Um ein Token zu löschen, ersetzen Sie TOKEN_ID durch die ID des zu löschenden Tokens:

databricks token-management delete TOKEN_ID