Compartir a través de

Supervisión y administración de acceso a los tokens de acceso personal

  • Artículo

Para autenticarse en la API de REST de Azure Databricks, un usuario puede crear un token de acceso personal y usarlo en su solicitud de API REST. Un usuario también puede crear una entidad de servicio y usarla con un token de acceso personal para llamar a las API de REST de Azure Databricks en sus herramientas de CI/CD y automatización. En este artículo se explica cómo los administradores de áreas de trabajo de Azure Databricks pueden administrar estos tokens de acceso en su área de trabajo.

Para crear un token de acceso de OAuth (en lugar de un PAT) para usarlo con una entidad de servicio en automatización, consulte Autenticación del acceso a Azure Databricks con una entidad de servicio mediante OAuth (OAuth M2M).

Uso de tokens de acceso personal (PAT) en lugar de OAuth para el acceso a Azure Databricks

Databricks recomienda usar tokens de acceso de OAuth en lugar de PAT para mayor seguridad y comodidad. Databricks sigue admitiendo PAT, pero debido a su mayor riesgo para la seguridad recomienda realizar una auditoría del uso actual de PAT en sus cuentas y migrar los usuarios y entidades de servicio a los tokens de acceso de OAuth.

Información general sobre la administración de tokens de acceso personal

Nota:

En la siguiente documentación se describe el uso de PAT para los clientes que aún no han realizado la migración de su código para usar OAuth en su lugar. Para evaluar el uso de los PAT en su propia organización y planear una migración de PAT a tokens de acceso de OAuth, consulte Evaluación del uso de tokens de acceso personal en su cuenta de Databricks.

De manera predeterminada, los tokens de acceso personal están habilitados para todas las áreas de trabajo de Azure Databricks que se crearon en 2018 o en una fecha posterior.

Cuando hay tokens de acceso personal habilitados en un área de trabajo, los usuarios con el permiso CAN USE pueden generar tokens de acceso personal para acceder a las API de REST de Azure Databricks y pueden generar estos tokens con cualquier fecha de vencimiento que deseen, incluida una vigencia indefinida. De manera predeterminada, ningún usuario del área de trabajo que no sea administrador puede tener el permiso CAN USE, lo que significa que no puede crear ni usar tokens de acceso personal.

Como administrador del área de trabajo de Azure Databricks, puede deshabilitar los tokens de acceso personal para un área de trabajo, supervisar y revocar los tokens, controlar qué usuarios que no son administradores pueden crear y usar tokens, y establecer una duración máxima para los nuevos tokens.

La administración de tokens de acceso personal en el área de trabajo requiere el plan Premium. Para crear un token de acceso personal, consulte Autenticación de token de acceso personal de Azure Databricks.

Habilitación o deshabilitación de la autenticación de tokens de acceso personal para el área de trabajo

La autenticación de tokens de acceso personal está habilitada de manera predeterminada para todas las áreas de trabajo de Azure Databricks que se crearon en 2018 o posteriormente. Puedes cambiar esta configuración en la página de configuración del área de trabajo.

Cuando los tokens de acceso personal están deshabilitados para un área de trabajo, no se pueden usar para autenticarse en Azure Databricks, y los usuarios y entidades de servicio del área de trabajo no pueden crear nuevos tokens. Los tokens no se eliminan al deshabilitar la autenticación de tokens de acceso personal para un área de trabajo. Si los tokens se vuelven a habilitar más adelante, los tokens que no hayan expirados estarán disponibles para su uso.

Si desea deshabilitar el acceso a tokens para un subconjunto de usuarios, puede mantener habilitada la autenticación de tokens de acceso personal para el área de trabajo y establecer permisos específicos para usuarios y grupos. Consulte Control de quién puede crear o usar tokens.

Advertencia

Las integraciones de partner y Partner Connect requieren que los tokens de acceso personal estén habilitados en un área de trabajo.

Para deshabilitar la capacidad de crear y usar tokens de acceso personal para el área de trabajo:

  1. Vaya a la página Configuración.

  2. Haga clic en la pestaña Opciones avanzadas.

  3. Haga clic en el botón de alternancia Tokens de acceso personal.

  4. Haga clic en Confirmar.

    Este cambio puede tardar unos segundos en surtir efecto.

También puede usar la API de configuración del área de trabajo para deshabilitar los tokens de acceso personal para el área de trabajo.

Control de quién puede crear o usar tokens

Los administradores del área de trabajo pueden establecer permisos en los tokens de acceso personales para controlar qué usuarios, entidades de servicio y grupos pueden crear y usar tokens. Para obtener más información sobre cómo configurar permisos de token de acceso personal, consulte Administración de permisos de token de acceso personal.

Establecer la duración máxima de los nuevos tokens

Puede administrar la duración máxima de los nuevos tokens en el área de trabajo mediante la CLI de Databricks o la API de configuración del área de trabajo. Este límite solo se aplica a los nuevos tokens.

Nota:

Databricks revoca automáticamente los tokens de acceso personal sin usar durante 90 o más días. Databricks no revocará tokens con duraciones superiores a 90 días, siempre y cuando los tokens se usen activamente.

Como procedimiento recomendado de seguridad, Databricks recomienda el uso de tokens de OAuth a través de PAT. Si va a realizar la transición de la autenticación de PAT a OAuth, Databricks recomienda usar tokens de corta duración para mejorar la seguridad.

Establezca el valor maxTokenLifetimeDays en la duración máxima de los nuevos tokens en días, como un entero. Si lo establece en cero, se permite que los nuevos tokens no tengan ningún límite de duración. Por ejemplo:

CLI de Databricks

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

API de configuración del área de trabajo

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Para usar el proveedor de Terraform de Databricks para administrar la duración máxima de los nuevos tokens en un área de trabajo, consulte Recurso databricks_workspace_conf.

Supervisión y revocación de tokens

En esta sección se describe cómo usar laCLI de Databricks para administrar los tokens existentes en el área de trabajo. También puede usar la API de administración de tokens.

Obtener tokens para el área de trabajo

Para obtener los tokens del área de trabajo:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Eliminación (revocación) de un token

Para eliminar un token, reemplace TOKEN_ID por el identificador del token que se va a eliminar:

databricks token-management delete TOKEN_ID

Revocación automática de tokens de acceso antiguos

Databricks revocará automáticamente los PAT de las áreas de trabajo de Azure Databricks cuando el token no se haya usado en 90 días o más. Como procedimiento recomendado, audite periódicamente los PAT en su cuenta de Azure Databricks y quite los que no se usan antes de que se revoquen automáticamente. Importe y ejecute el cuaderno proporcionado en Evaluación del uso de tokens de acceso personal en su cuenta de Databricks para determinar el número de PAT no caducados en la cuenta de Azure Databricks de su organización.

Databricks recomienda configurar la cuenta de Azure Databricks de su organización para usar tokens de OAuth para la autenticación de acceso en lugar de PAT para una mayor seguridad y facilidad de uso.