Monitorowanie i odwoływanie osobistych tokenów dostępu

Aby uwierzytelnić się w interfejsie API REST usługi Azure Databricks, użytkownik może utworzyć osobisty token dostępu (PAT) i użyć go w żądaniu interfejsu API REST. Użytkownik może również utworzyć jednostkę usługi i używać jej z osobistym tokenem dostępu do wywoływania interfejsów API REST usługi Azure Databricks w narzędziach ciągłej integracji/ciągłego wdrażania i automatyzacji. W tym artykule wyjaśniono, jak administratorzy usługi Azure Databricks mogą zarządzać osobistymi tokenami dostępu w ich obszarze roboczym. Aby utworzyć osobisty token dostępu, zobacz Uwierzytelnianie osobistego tokenu dostępu usługi Azure Databricks.

Używanie protokołu OAuth zamiast osobistych tokenów dostępu

Usługa Databricks zaleca używanie tokenów dostępu OAuth zamiast paT w celu zwiększenia bezpieczeństwa i wygody. Usługa Databricks nadal obsługuje usługi PATs, ale ze względu na większe ryzyko bezpieczeństwa zaleca się przeprowadzenie inspekcji bieżącego użycia tokenu pat konta oraz migrację użytkowników i jednostek usługi do tokenów dostępu OAuth. Aby utworzyć token dostępu OAuth (zamiast pat) do użycia z jednostką usługi w automatyzacji, zobacz Uwierzytelnianie dostępu do usługi Azure Databricks przy użyciu jednostki usługi przy użyciu protokołu OAuth (OAuth M2M).

Usługa Databricks zaleca zminimalizowanie narażenia osobistego tokenu dostępu, wykonując następujące czynności:

1. Ustaw krótki okres istnienia dla wszystkich nowych tokenów utworzonych w obszarach roboczych. Okres istnienia powinien być krótszy niż 90 dni. Domyślnie maksymalny okres istnienia wszystkich nowych tokenów wynosi 730 dni (dwa lata).
2. Współpracuj z administratorami obszarów roboczych usługi Azure Databricks i użytkownikami, aby przełączyć się na te tokeny z krótszym okresem istnienia.
3. Odwołaj wszystkie długotrwałe tokeny, aby zmniejszyć ryzyko nieprawidłowego użycia tych starszych tokenów w czasie. Usługa Databricks automatycznie unieważnia wszystkie tokeny PAT dla obszarów roboczych usługi Azure Databricks, gdy token nie został użyty przez 90 dni lub dłużej.

Wymagania

Aby zarządzać osobistymi tokenami dostępu, musisz być administratorem.

Administratorzy kont usługi Azure Databricks mogą monitorować i odwoływać osobiste tokeny dostępu na koncie.

Administratorzy obszaru roboczego usługi Azure Databricks mogą wykonywać następujące czynności:

• Wyłącz osobiste tokeny dostępu dla obszaru roboczego.
• Kontrolowanie, którzy użytkownicy niebędący administratorami mogą tworzyć tokeny i używać tokenów.
• Ustaw maksymalny okres istnienia nowych tokenów.
• Monitorowanie i odwoływanie tokenów w ich obszarze roboczym.

Zarządzanie osobistymi tokenami dostępu w Twoim obszarze roboczym wymaga posiadania planu Premium .

Monitorowanie i odwoływanie osobistych tokenów dostępu na koncie

Ważny

Ta funkcja jest dostępna w publicznej wersji zapoznawczej. Aby dołączyć do tej wersji zapoznawczej, skontaktuj się z zespołem ds. kont usługi Azure Databricks.

Administratorzy kont mogą monitorować i odwoływać osobiste tokeny dostępu z konsoli konta. Zapytania do monitorowania tokenów są uruchamiane tylko wtedy, gdy administrator konta używa strony raportu tokenu.

1. Aby dołączyć do tej wersji zapoznawczej, najpierw skontaktuj się z zespołem konta usługi Azure Databricks.

2. Jako administrator konta zaloguj się do konsoli konta .

3. Na pasku bocznym kliknij pozycję Podglądy.

4. Użyj przełącznika

   

5. Na pasku bocznym kliknij pozycję Ustawienia i raport tokenu .

   Możesz filtrować według właściciela tokenu, obszaru roboczego, daty utworzenia, daty wygaśnięcia i daty ostatniego użycia tokenu. Przyciski na górze raportu umożliwiają filtrowanie tokenów dostępu dla nieaktywnych użytkowników lub tokenów dostępu bez daty wygaśnięcia.

   

6. Aby wyeksportować raport do pliku CSV, kliknij pozycję Eksportuj.

7. Aby odwołać token, wybierz token i kliknij przycisk Odwołaj.

   

Włączanie lub wyłączanie uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego

Uwierzytelnianie osobistego tokenu dostępu jest domyślnie włączone dla wszystkich obszarów roboczych usługi Azure Databricks utworzonych w 2018 lub nowszych wersjach. To ustawienie można zmienić na stronie ustawień obszaru roboczego.

Jeśli osobiste tokeny dostępu są wyłączone dla obszaru roboczego, osobiste tokeny dostępu nie mogą być używane do uwierzytelniania w usłudze Azure Databricks, a użytkownicy obszaru roboczego i jednostki usługi nie mogą tworzyć nowych tokenów. Podczas wyłączania uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego nie są usuwane żadne tokeny. Jeśli tokeny zostaną ponownie włączone później, wszystkie tokeny, które nie wygasły, będą dostępne do użycia.

Jeśli chcesz wyłączyć dostęp do tokenu dla podzbioru użytkowników, możesz zachować włączenie uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego i ustawić szczegółowe uprawnienia dla użytkowników i grup. Zobacz Kontrolowanie, kto może tworzyć osobiste tokeny dostępu i korzystać z nich.

Ostrzeżenie

Program Partner Connect i integracje partnerów wymagają włączenia osobistych tokenów dostępu w obszarze roboczym.

Aby wyłączyć możliwość tworzenia i używania osobistych tokenów dostępu dla obszaru roboczego:

1. Przejdź do strony ustawień.

2. Kliknij kartę Zaawansowane.

3. Kliknij przełącznik Osobiste tokeny dostępu.

4. Kliknij przycisk Potwierdź.

   Ta zmiana może potrwać kilka sekund.

Możesz również użyć interfejsu API konfiguracji obszaru roboczego, aby wyłączyć osobiste tokeny dostępu dla obszaru roboczego.

Kontrolowanie, kto może tworzyć osobiste tokeny dostępu i korzystać z nich

Administratorzy obszaru roboczego mogą ustawić uprawnienia do osobistych tokenów dostępu, aby kontrolować, którzy użytkownicy, jednostki usługi i grupy mogą tworzyć tokeny i używać ich. Aby uzyskać szczegółowe informacje na temat konfigurowania osobistych uprawnień tokenu dostępu, zobacz Zarządzanie uprawnieniami osobistego tokenu dostępu.

Ustawianie maksymalnego okresu istnienia nowych osobistych tokenów dostępu

Domyślnie maksymalny okres istnienia nowych tokenów wynosi 730 dni (dwa lata). Możesz ustawić krótszy maksymalny okres istnienia tokenu w obszarze roboczym przy użyciu interfejsu wiersza polecenia usługi Databricks lub interfejsu API konfiguracji obszaru roboczego . Ten limit dotyczy tylko nowych tokenów.

Ustaw maxTokenLifetimeDays wartość maksymalnego okresu istnienia tokenu nowych tokenów w dniach jako liczba całkowita. Na przykład:

Interfejs wiersza polecenia usługi Databricks

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Interfejs API konfiguracji obszaru roboczego

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Jeśli ustawisz maxTokenLifetimeDays na zero, można utworzyć nowe tokeny z okresem istnienia do 730 dni (dwa lata).

Aby użyć dostawcy narzędzia Terraform usługi Databricks do zarządzania maksymalnym okresem istnienia nowych tokenów w obszarze roboczym, zobacz databricks_workspace_conf Zasób.

Monitorowanie i odwoływanie tokenów w twoim obszarze roboczym

W tej sekcji opisano, w jaki sposób administratorzy obszarów roboczych mogą użyć interfejsu wiersza polecenia Databricks do zarządzania istniejącymi tokenami w obszarze roboczym. Możesz również użyć interfejsu API zarządzania tokenami. Usługa Databricks automatycznie odwołuje osobiste tokeny dostępu, które nie były używane w ciągu 90 lub więcej dni.

Pobieranie tokenów dla obszaru roboczego

Aby uzyskać tokeny obszaru roboczego:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Usuwanie (odwoływanie) tokenu

Aby usunąć token, zastąp TOKEN_ID identyfikatorem tokenu, który chcesz usunąć:

databricks token-management delete TOKEN_ID