评估 Databricks 帐户中的个人访问令牌使用情况

使用个人访问令牌 (PAT) 保护对 Azure Databricks 资源的访问需要定期撤销单个访问令牌。本主题提供了一个笔记本，该笔记本在 Azure Databricks 工作区中运行时，列出在过去 90 天内未轮换或更新的所有个人访问令牌 (PAT)，以便可以撤销这些令牌。

注意

Databricks 建议使用 OAuth 机密和访问令牌进行身份验证，而不是 PAT。有关使用 OAuth 对 Azure Databricks 工作区资源的访问进行身份验证的详细信息，请参阅 OAuth 用户到计算机 (U2M) 身份验证。

先决条件

要在 Azure Databricks 工作区中运行此笔记本，你必须为 Azure Databricks 工作区启用联合身份验证。如果你有帐户管理员权限，可以按照以下说明为用户启用联合身份验证：启用联合身份验证。

如果要在自动化中使用此笔记本，或将其提供给其他用户来运行它，请创建服务主体。向新服务主体授予帐户管理员权限，并将服务主体的客户端 ID 和客户端密码添加到笔记本（如代码中所示）。服务主体会自动为每个工作区添加管理员权限，以便可以运行笔记本来列出该工作区的 PAT。运行笔记本后，删除服务主体。

运行以下笔记本并查看帐户中 PAT 的状态：

评估 Azure Databricks 帐户的 PAT 使用情况后，Databricks 建议通过以下步骤来最大程度地减少令牌公开：

为工作区中创建的所有新令牌设置短生存期。生存期应小于 90 天。
请与 Azure Databricks 工作区管理员和用户合作，切换到生存期较短的令牌。
撤销所有生存期较长的令牌，以减少这些旧令牌随时间推移被滥用的风险。当令牌在 90 天或更长时间内未被使用时，Databricks 将自动吊销 Azure Databricks 工作区的所有 PAT。

若要对自动化中的 Azure Databricks 工作区和资源的 API 访问进行身份验证，Databricks 建议使用服务主体和 OAuth。虽然 Databricks 仍支持 PAT 来实现兼容性，但由于安全性风险较大，它们不再是身份验证的首选机制。