Мониторинг и отзыв личных маркеров доступа

Для проверки подлинности в REST API Azure Databricks пользователь может создать личный маркер доступа (PAT) и использовать его в запросе REST API. Пользователь также может создать субъект-службу и использовать его с личным маркером доступа для вызова REST API Azure Databricks в средствах CI/CD и автоматизации. В этой статье объясняется, как администраторы Azure Databricks могут управлять личными маркерами доступа в рабочей области. Чтобы создать личный маркер доступа, ознакомьтесь с проверкой подлинности личного маркера доступа Azure Databricks.

Использование OAuth вместо личных маркеров доступа

Databricks рекомендует использовать маркеры доступа OAuth вместо PATS для повышения безопасности и удобства. Databricks продолжает поддерживать PAT, но из-за их большего риска безопасности предполагается, что вы проверяете текущее использование PAT учетной записи и переносите пользователей и субъектов-служб в маркеры доступа OAuth. Чтобы создать маркер доступа OAuth (вместо PAT) для использования с субъектом-службой в службе автоматизации, ознакомьтесь с проверкой подлинности доступа к Azure Databricks с субъектом-службой с помощью OAuth (OAuth M2M).

Databricks рекомендует свести к минимуму доступ к личному маркеру доступа, выполнив следующие действия.

1. Задайте короткое время существования для всех новых маркеров, созданных в рабочих областях. Время существования должно быть меньше 90 дней. По умолчанию максимальное время существования всех новых маркеров составляет 730 дней (два года).
2. Обратитесь к администраторам рабочей области Azure Databricks и пользователям, чтобы перейти на эти маркеры с более коротким временем существования.
3. Отменяйте все долгосрочные маркеры, чтобы снизить риск использования этих старых маркеров с течением времени. Databricks автоматически отзывает все персональные токены доступа для рабочих областей Azure Databricks, если токен не был использован 90 дней или дольше.

Требования

Вы должны быть администратором для управления личными маркерами доступа.

Администраторы учетных записей Azure Databricks могут отслеживать и отзывать токены личного доступа по всей учетной записи.

Администраторы рабочей области Azure Databricks могут выполнять следующие действия:

• Отключите личные маркеры доступа для рабочей области.
• Управление тем, какие пользователи, не являющиеся администраторами, могут создавать маркеры и использовать маркеры.
• Задайте максимальное время существования для новых маркеров.
• Отслеживайте и аннулируйте токены в их рабочей области.

Для управления личными маркерами доступа в рабочей области требуется план Premium.

Мониторинг и отзыв личных маркеров доступа в учетной записи

Важный

Эта функция доступна в общедоступной предварительной версии. Чтобы присоединиться к этой предварительной версии, обратитесь к группе учетной записи Azure Databricks.

Администраторы учетных записей могут отслеживать и отзывать личные маркеры доступа из консоли учетной записи. Запросы для отслеживания токенов выполняются только в том случае, если администратор учетной записи использует страницу отчета о токенах.

1. Чтобы присоединиться к этой предварительной версии, обратитесь к группе учетной записи Azure Databricks.

2. Войдите в консоль учетной записи как администратор учетной записи.

3. На боковой панели щелкните предпросмотры.

4. Используйте переключатели в положении "Вкл.", чтобы включить отчет маркера доступа.

   

5. На боковой панели щелкните Параметры и Отчет по маркерам.

   Вы можете фильтровать по владельцу токена, рабочей области, дате создания, дате окончания срока действия и дате последнего использования маркера. Используйте кнопки в верхней части отчета, чтобы отфильтровать маркеры доступа для неактивных субъектов или маркеров доступа без даты окончания срока действия.

   

6. Чтобы экспортировать отчет в CSV-файл, щелкните Экспортировать.

7. Чтобы отозвать токен, выберите токен и кликните Отозвать.

   

Включение или отключение проверки подлинности личного маркера доступа для рабочей области

Проверка подлинности маркера личного доступа включена по умолчанию для всех рабочих областей Azure Databricks, созданных в 2018 году или более поздней версии. Этот параметр можно изменить на странице параметров рабочей области.

Если личные маркеры доступа отключены для рабочей области, личные маркеры доступа нельзя использовать для проверки подлинности в Azure Databricks и пользователей рабочей области и субъектов-служб не могут создавать новые маркеры. Маркеры не удаляются при отключении проверки подлинности личного маркера доступа для рабочей области. Если маркеры снова включены позже, все маркеры, не истекшие срок действия, доступны для использования.

Если вы хотите отключить доступ к маркерам для подмножества пользователей, вы можете сохранить проверку подлинности маркера личного доступа для рабочей области и задать подробные разрешения для пользователей и групп. См. раздел "Управление тем, кто может создавать и использовать личные маркеры доступа".

Предупреждение

Для интеграции с партнером ипартнерам требуется включить личные маркеры доступа в рабочей области.

Чтобы отключить возможность создания и использования личных маркеров доступа для рабочей области:

1. Перейдите на страницу параметров.

2. Перейдите на вкладку Дополнительно.

3. Щелкните переключатель Личные маркеры доступа.

4. Нажмите кнопку Подтвердить.

   Для вступления в силу этого изменения может потребоваться несколько секунд.

Вы также можете использовать API конфигурации рабочей области, чтобы отключить личные маркеры доступа для рабочей области.

Управление тем, кто может создавать и использовать личные маркеры доступа

Администраторы рабочей области могут устанавливать разрешения на личные маркеры доступа, чтобы управлять тем, какие пользователи, субъекты-службы и группы могут создавать и использовать маркеры. Дополнительные сведения о настройке разрешений маркера личного доступа см. в статье "Управление разрешениями личного маркера доступа".

Установка максимального времени существования новых личных маркеров доступа

По умолчанию максимальное время существования новых маркеров составляет 730 дней (два года). Вы можете задать более короткое максимальное время существования токена в рабочей области с помощью Databricks CLI илиAPI конфигурации рабочей области . Это ограничение применяется только к новым маркерам.

Задайте для параметра maxTokenLifetimeDays максимальный срок действия для новых маркеров (в днях) в виде целого числа. Например:

Интерфейс командной строки Databricks

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

API конфигурации рабочей области

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Если maxTokenLifetimeDays равно нулю, новые маркеры можно создать с сроком существования до 730 дней (два года).

Сведения об использовании поставщика Databricks Terraform для управления максимальным временем существования новых маркеров в рабочей области см. в разделе databricks_workspace_conf Resource.

Управление и отзыв токенов в рабочей области

В этом разделе описывается, как администраторы рабочих областей могут использовать интерфейс командной строки Databricks для управления существующими токенами в рабочей области. Вы также можете использовать API управления маркерами. Databricks автоматически отменяет личные маркеры доступа, которые не использовались в течение 90 или более дней.

Получение маркеров для рабочей области

Чтобы получить маркеры рабочей области, выполните следующие действия.

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Удаление (отзыв) маркера

Чтобы удалить маркер, замените TOKEN_ID идентификатором маркера для удаления:

databricks token-management delete TOKEN_ID