Persoonlijke toegangstokens bewaken en intrekken

Om te verifiëren bij de REST API van Azure Databricks, kan een gebruiker een persoonlijk toegangstoken (PAT) maken en gebruiken in hun REST API-aanvraag. Een gebruiker kan ook een service-principal maken en gebruiken met een persoonlijk toegangstoken om Azure Databricks REST API's aan te roepen in hun CI/CD-hulpprogramma's en automatisering. In dit artikel wordt uitgelegd hoe Azure Databricks-beheerders persoonlijke toegangstokens in hun werkruimte kunnen beheren. Als u een persoonlijk toegangstoken wilt maken, raadpleegt u de verificatie van persoonlijke toegangstokens van Azure Databricks.

OAuth gebruiken in plaats van persoonlijke toegangstokens

Databricks raadt u aan OAuth-toegangstokens te gebruiken in plaats van PAT's voor betere beveiliging en gemak. Databricks blijft PAT's ondersteunen, maar vanwege hun grotere beveiligingsrisico's wordt u aangeraden het huidige PAT-gebruik van uw account te controleren en uw gebruikers en service-principals te migreren naar OAuth-toegangstokens. Als u een OAuth-toegangstoken (in plaats van een PAT) wilt maken voor gebruik met een service-principal in automatisering, raadpleegt u Verificatietoegang tot Azure Databricks met een service-principal met behulp van OAuth (OAuth M2M).

Databricks raadt u aan om de blootstelling van uw persoonlijke toegangstoken tot een minimum te beperken met de volgende stappen:

1. Stel een korte levensduur in voor alle nieuwe tokens die in uw werkruimten zijn gemaakt. De levensduur moet korter zijn dan 90 dagen. Standaard is de maximale levensduur voor alle nieuwe tokens 730 dagen (twee jaar).
2. Werk samen met uw Beheerders en gebruikers van uw Azure Databricks-werkruimte om over te schakelen naar die tokens met kortere levensduur.
3. Trek alle langlopende tokens in om het risico te verminderen dat deze oudere tokens na verloop van tijd worden misbruikt. Databricks trekt automatisch alle PAT's voor uw Azure Databricks-workspaces in wanneer het token gedurende 90 of meer dagen niet is gebruikt geweest.

Vereisten

U moet een beheerder zijn om persoonlijke toegangstokens te beheren.

Beheerders van Azure Databricks-accounts kunnen persoonlijke toegangstokens in het account bewaken en intrekken.

Beheerders van Azure Databricks-werkruimten kunnen het volgende doen:

• Persoonlijke toegangstokens uitschakelen voor een werkruimte.
• Bepalen welke niet-beheerders tokens kunnen maken en tokens kunnen gebruiken.
• Stel een maximale levensduur in voor nieuwe tokens.
• Tokens in hun werkruimte bewaken en intrekken.

Voor het beheren van persoonlijke toegangstokens in uw werkruimte is het Premium-abonnementvereist.

Persoonlijke toegangstokens in het account bewaken en intrekken

Belangrijk

Deze functie bevindt zich in openbare preview-versie. Neem contact op met uw Azure Databricks-accountteam om deel te nemen aan deze preview.

Accountbeheerders kunnen persoonlijke toegangstokens bewaken en intrekken vanuit de accountconsole. De query's voor het bewaken van tokens worden alleen uitgevoerd wanneer een accountbeheerder de tokenrapportpagina gebruikt.

1. Neem eerst contact op met uw Azure Databricks-accountteam om deel te nemen aan deze preview.

2. Meld u als accountbeheerder aan bij de accountconsole.

3. Klik in de zijbalk op Voorbeeldweergaven.

4. Gebruik wisselknoppen in om het Access Token Rapportin te schakelen.

   

5. Klik in de zijbalk op Instellingen en Tokenrapport.

   U kunt filteren op de eigenaar van het token, de werkruimte, de gemaakte datum, de vervaldatum en de datum waarop het token voor het laatst is gebruikt. Gebruik de knoppen boven aan het rapport om te filteren op toegangstokens voor inactieve principals of toegangstokens zonder vervaldatum.

   

6. Als u een rapport wilt exporteren naar een CSV, klikt u op Exporteren.

7. Als u een token wilt intrekken, selecteert u een token en klikt u op Intrekken.

   

Verificatie van persoonlijke toegangstokens voor de werkruimte in- of uitschakelen

Verificatie van persoonlijke toegangstokens is standaard ingeschakeld voor alle Azure Databricks-werkruimten die in 2018 of hoger zijn gemaakt. U kunt deze instelling wijzigen op de pagina met werkruimte-instellingen.

Wanneer persoonlijke toegangstokens zijn uitgeschakeld voor een werkruimte, kunnen persoonlijke toegangstokens niet worden gebruikt om te verifiëren bij Azure Databricks- en werkruimtegebruikers en service-principals, kunnen geen nieuwe tokens worden gemaakt. Er worden geen tokens verwijderd wanneer u persoonlijke toegangstokenverificatie voor een werkruimte uitschakelt. Als tokens later opnieuw worden ingeschakeld, zijn alle niet-verlopen tokens beschikbaar voor gebruik.

Als u tokentoegang wilt uitschakelen voor een subset van gebruikers, kunt u persoonlijke toegangstokenverificatie ingeschakeld houden voor de werkruimte en gedetailleerde machtigingen instellen voor gebruikers en groepen. Zie Bepalen wie persoonlijke toegangstokens kan maken en gebruiken.

Waarschuwing

Partner Connect en partnerintegraties vereisen dat persoonlijke toegangstokens zijn ingeschakeld in een werkruimte.

Als u de mogelijkheid wilt uitschakelen om persoonlijke toegangstokens voor de werkruimte te maken en te gebruiken:

1. Ga naar de pagina Instellingen.

2. Klik op het tabblad Geavanceerd.

3. Klik op de wisselknop Persoonlijke toegangstokens .

4. Klik op Bevestigen.

   Deze wijziging kan enkele seconden duren.

U kunt ook de API voor werkruimteconfiguratie gebruiken om persoonlijke toegangstokens voor de werkruimte uit te schakelen.

Bepalen wie persoonlijke toegangstokens kan maken en gebruiken

Werkruimtebeheerders kunnen machtigingen instellen voor persoonlijke toegangstokens om te bepalen welke gebruikers, service-principals en groepen tokens kunnen maken en gebruiken. Zie Persoonlijke toegangstokenmachtigingen beheren voor meer informatie over het configureren van persoonlijke toegangstokenmachtigingen.

Maximale levensduur van nieuwe persoonlijke toegangstokens instellen

De maximale levensduur van nieuwe tokens is standaard 730 dagen (twee jaar). U kunt een kortere maximale levensduur van tokens instellen in uw werkruimte met behulp van de Databricks CLI- of de Werkruimteconfiguratie-API. Deze limiet geldt alleen voor nieuwe tokens.

Ingesteld maxTokenLifetimeDays op de maximale levensduur van tokens in dagen, als geheel getal. Voorbeeld:

Databricks-CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Api voor werkruimteconfiguratie

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Als u de maxTokenLifetimeDays instelt op nul, kunnen nieuwe tokens worden gemaakt met een levensduur van maximaal 730 dagen (twee jaar).

Als u de Databricks Terraform-provider wilt gebruiken om de maximale levensduur voor nieuwe tokens in een werkruimte te beheren, raadpleegt u databricks_workspace_conf Resource.

Tokens monitoren en intrekken in uw werkruimte

In deze sectie wordt beschreven hoe werkruimtebeheerders de Databricks CLI- kunnen gebruiken om bestaande tokens in de werkruimte te beheren. U kunt ook de Token Management-API gebruiken. Databricks trekt automatisch persoonlijke toegangstokens in die over 90 of meer dagen niet zijn gebruikt.

Tokens ophalen voor de werkruimte

De tokens van de werkruimte ophalen:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Een token verwijderen (intrekken)

Als u een token wilt verwijderen, vervangt u TOKEN_ID door de id van het token dat u wilt verwijderen:

databricks token-management delete TOKEN_ID