Compartir a través de

Evaluación del uso de tokens de acceso personal en la cuenta de Databricks

  • Artículo

El acceso seguro a los recursos de Azure Databricks con tokens de acceso personal (PAT) requiere revocar periódicamente tokens de acceso individuales. En este tema se proporciona un cuaderno que, cuando se ejecuta en el área de trabajo de Azure Databricks, enumera todos los tokens de acceso personal (PAT) que no se han rotado o actualizado en los últimos 90 días para que puedas revocarlos.

Nota:

Databricks recomienda usar secretos de OAuth y tokens de acceso para la autenticación en lugar de PAT. Para obtener más información sobre el uso de OAuth para autenticar el acceso a los recursos del área de trabajo de Azure Databricks, consulte Autenticación del acceso a Azure Databriacks mediante OAuth (OAuth U2M).

Requisitos previos

Para ejecutar este cuaderno en el área de trabajo de Azure Databricks, debes tener habilitada la federación de identidades para el área de trabajo de Azure Databricks. Si tienes permisos de administrador de cuentas, puedes habilitar la federación de identidades para un usuario siguiendo estas instrucciones: Habilitar la federación de identidades.

Si deseas usar este cuaderno en la automatización o proporcionarlo a otros usuarios para ejecutarlo, cree una entidad de servicio. Concede permiso de administrador de cuenta a la nueva entidad de servicio y agrega el identificador de cliente y el secreto de cliente de la entidad de servicio al cuaderno (como se indica en el código). La entidad de servicio se agrega automáticamente con privilegios de administrador a cada área de trabajo para que el cuaderno se pueda ejecutar para enumerar los PAT de esa área de trabajo. Después de ejecutar el cuaderno, elimina la entidad de servicio.

Cuaderno de uso de PAT del área de trabajo de Databricks

Ejecuta el cuaderno siguiente y revisa el estado de los PAT de tu cuenta:

Evaluación del uso de PAT para las áreas de trabajo y la cuenta de Databricks

Obtener el cuaderno

Pasos siguientes

Una vez que hayas evaluado el uso de PAT para la cuenta de Azure Databricks, Databricks recomienda minimizar la exposición del token con los pasos siguientes:

  1. Establece una duración corta para todos los tokens nuevos creados en el/las área(s) de trabajo. La duración debe ser inferior a 90 días.
  2. Trabaja con los administradores y usuarios del área de trabajo de Azure Databricks para cambiar a esos tokens con una duración más corta.
  3. Revoca todos los tokens de larga duración para reducir el riesgo de que estos tokens más antiguos se utilicen incorrectamente con el tiempo. Databricks revoca automáticamente todos los PAT de las áreas de trabajo de Azure Databricks cuando el token no se haya usado en 90 días o más.

procedimientos recomendados

Para autenticar el acceso de API a las áreas de trabajo y los recursos de Azure Databricks en la automatización, Databricks recomienda usar una entidad de servicio y OAuth. Aunque Databricks sigue admitiendo PAT por compatibilidad, ya no son un mecanismo preferido para la autenticación debido a su mayor riesgo de seguridad.