Dela via

Övervaka och återkalla personliga åtkomsttoken

  • Artikel

För att autentisera till Azure Databricks REST API kan en användare skapa en personlig åtkomsttoken (PAT) och använda den i sin REST API-begäran. En användare kan också skapa ett huvudnamn för tjänsten och använda den med en personlig åtkomsttoken för att anropa Rest-API:er för Azure Databricks i sina CI/CD-verktyg och automatisering. Den här artikeln beskriver hur Azure Databricks-administratörer kan hantera personliga åtkomsttoken på sin arbetsyta. Information om hur du skapar en personlig åtkomsttoken finns i autentisering med personlig åtkomsttoken i Azure Databricks.

Använda OAuth i stället för personliga åtkomsttoken

Databricks rekommenderar att du använder OAuth-åtkomsttoken i stället för PAT för bättre säkerhet och bekvämlighet. Databricks fortsätter att stödja PAT,men på grund av deras större säkerhetsrisk föreslås det att du granskar ditt kontos aktuella PAT-användning och migrerar dina användare och tjänstens huvudnamn till OAuth-åtkomsttoken. Information om hur du skapar en OAuth-åtkomsttoken (i stället för en PAT) som ska användas med ett huvudnamn för tjänsten i automation finns i Autentisera åtkomst till Azure Databricks med ett huvudnamn för tjänsten med OAuth (OAuth M2M).

Databricks rekommenderar att du minimerar exponeringen av din personliga åtkomsttoken med följande steg:

  1. Ange en kort livslängd för alla nya token som skapats på dina arbetsytor. Livslängden bör vara mindre än 90 dagar. Som standard är den maximala livslängden för alla nya token 730 dagar (två år).
  2. Arbeta med dina Azure Databricks-arbetsyteadministratörer och användare för att växla till dessa token med kortare livslängd.
  3. Återkalla alla långlivade token för att minska risken för att dessa äldre token missbrukas över tid. Databricks återkallar automatiskt alla PAT:er för dina Azure Databricks-arbetsytor när token inte har använts på 90 dagar eller mer.

Krav

Du måste vara administratör för att hantera personliga åtkomsttoken.

Azure Databricks-kontoadministratörer kan övervaka och återkalla personliga åtkomsttoken i hela kontot.

Azure Databricks-arbetsyteadministratörer kan göra följande:

  • Inaktivera personliga åtkomsttoken för en arbetsyta.
  • Kontrollera vilka icke-administratörsanvändare som kan skapa token och använda token.
  • Ange en maximal livslängd för nya token.
  • Övervaka och återkalla tokens i deras arbetsmiljö.

För att hantera personliga åtkomsttoken på din arbetsyta krävs Premium-plan.

Övervaka och återkalla personliga åtkomsttoken i kontot

Viktig

Den här funktionen finns i Privat förhandsversion. Om du vill ansluta till den här förhandsversionen kontaktar du ditt Azure Databricks-kontoteam.

Kontoadministratörer kan övervaka och återkalla personliga åtkomsttoken från kontokonsolen. Förfrågningarna för att övervaka token körs endast när en kontoadministratör använder tokenrapport-sidan.

  1. Om du vill ansluta till den här förhandsversionen kontaktar du först ditt Azure Databricks-kontoteam.

  2. Som kontoadministratör loggar du in på -kontokonsolen.

  3. I sidofältet klickar du på Förhandsgranskningar.

  4. Använd växlingsknappar Växla kontroll i Läget På. för att aktivera åtkomsttokenrapport.

    Aktivera åtkomsttokenrapport.

  5. I sidofältet klickar du på Inställningar och Tokenrapport.

    Du kan filtrera efter tokenägare, arbetsyta, skapat datum, förfallodatum och datum då token senast användes. Använd knapparna överst i rapporten för att filtrera efter åtkomsttoken som tillhör inaktiva användare eller åtkomsttoken som saknar förfallodatum.

    Visa en personlig åtkomsttokenrapport.

  6. Om du vill exportera en rapport till en CSV klickar du på Exportera.

  7. Om du vill återkalla en token väljer du en token och klickar på Återkalla.

    Återkalla en personlig åtkomsttoken.

Aktivera eller inaktivera personlig åtkomsttokenautentisering för arbetsytan

Autentisering med personlig åtkomsttoken är aktiverat som standard för alla Azure Databricks-arbetsytor som skapades 2018 eller senare. Du kan ändra den här inställningen på arbetsytans inställningssida.

När personliga åtkomsttoken inaktiveras för en arbetsyta kan inte personliga åtkomsttoken användas för att autentisera till Azure Databricks och arbetsyteanvändare och tjänstens huvudnamn kan inte skapa nya token. Inga token tas bort när du inaktiverar autentisering med personlig åtkomsttoken för en arbetsyta. Om token återaktiveras senare är alla token som inte har upphört att gälla tillgängliga för användning.

Om du vill inaktivera tokenåtkomst för en delmängd användare kan du aktivera personlig åtkomsttokenautentisering för arbetsytan och ange detaljerade behörigheter för användare och grupper. Se Kontrollera vem som kan skapa och använda personliga åtkomsttoken.

Varning

Partneranslutningoch partnerintegrering kräver att personliga åtkomsttoken aktiveras på en arbetsyta.

Så här inaktiverar du möjligheten att skapa och använda personliga åtkomsttoken för arbetsytan:

  1. Gå till inställningssidan.

  2. Klicka på fliken Avancerat.

  3. Klicka på växlingsknappen Personliga åtkomsttoken.

  4. Klicka på Bekräfta.

    Den här ändringen kan ta några sekunder att börja gälla.

Du kan också använda API:et för arbetsytekonfiguration för att inaktivera personliga åtkomsttoken för arbetsytan.

Kontrollera vem som kan skapa och använda personliga åtkomsttoken

Arbetsyteadministratörer kan ange behörigheter för personliga åtkomsttoken för att styra vilka användare, tjänsthuvudnamn och grupper som kan skapa och använda token. Mer information om hur du konfigurerar behörigheter för personlig åtkomsttoken finns i Hantera behörigheter för personlig åtkomsttoken.

Ange maximal livslängd för nya personliga åtkomsttoken

Som standard är den maximala livslängden för nya token 730 dagar (två år). Du kan ange en kortare maximal tokenlivslängd på arbetsytan med hjälp av Databricks CLI- eller konfigurations-API:et för arbetsyta. Den här gränsen gäller endast för nya token.

Ange maxTokenLifetimeDays till den maximala tokenlivslängden för nya token i dagar, som ett heltal. Till exempel:

Databricks CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

API för konfiguration av arbetsyta

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Om du anger maxTokenLifetimeDays till noll kan nya token skapas med en livslängd på upp till 730 dagar (två år).

Information om hur du använder Databricks Terraform-providern för att hantera den maximala livslängden för nya token på en arbetsyta finns i databricks_workspace_conf Resurs.

Övervaka och återkalla tokens i din arbetsyta

I det här avsnittet beskrivs hur arbetsyteadministratörer kan använda Databricks CLI- för att hantera befintliga token på arbetsytan. Du kan också använda API:et för tokenhantering. Databricks återkallar automatiskt personliga åtkomsttoken som inte har använts på 90 dagar eller mer.

Hämta tokens för arbetsyta

Så här hämtar du arbetsytans tokens:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Ta bort (återkalla) en token

Om du vill ta bort en token ersätter du TOKEN_ID med ID:t för token som ska tas bort:

databricks token-management delete TOKEN_ID