Monitorování a odvolávání osobních přístupových tokenů

Aby se uživatel mohl ověřit v rozhraní AZURE Databricks REST API, může vytvořit osobní přístupový token (PAT) a použít ho v požadavku rest API. Uživatel může také vytvořit služební principal a použít jej s osobním přístupovým tokenem k volání REST API Azure Databricks ve svých CI/CD nástrojích a automatizaci. Tento článek vysvětluje, jak můžou správci Azure Databricks spravovat osobní přístupové tokeny ve svém pracovním prostoru. Pokud chcete vytvořit osobní přístupový token, přečtěte si Ověřování pomocí osobních přístupových tokenů Azure Databricks (starší verze).

Použití OAuth místo osobních přístupových tokenů

Databricks doporučuje používat přístupové tokeny OAuth místo osobních přístupových tokenů (PAT) pro lepší zabezpečení a pohodlí. Databricks nadále podporuje osobní přístupové tokeny (PAT), ale vzhledem k jejich zvýšenému bezpečnostnímu riziku se doporučuje provést audit aktuálního využití osobních přístupových tokenů vašeho účtu a migrovat uživatele a služební identity na přístupové tokeny OAuth. Pokud chcete vytvořit přístupový token OAuth (místo PAT) pro použití s instančním objektem v automatizaci, přečtěte si téma Autorizace přístupu instančního objektu k Azure Databricks pomocí OAuth.

Databricks doporučuje minimalizovat vystavení osobního přístupového tokenu pomocí následujících kroků:

  1. Nastavte krátkou životnost pro všechny nové tokeny vytvořené ve vašich pracovních prostorech. Životnost by měla být kratší než 90 dnů. Ve výchozím nastavení je maximální životnost všech nových tokenů 730 dnů (dva roky).
  2. Spolupracujte se správci a uživateli pracovního prostoru Azure Databricks a přepněte na tyto tokeny s kratší životností.
  3. Odvolejte všechny dlouho platné tokeny pro snížení rizika zneužití těchto starších tokenů v průběhu času. Databricks automaticky zruší všechny osobní přístupové tokeny (PAT) pro vaše pracovní prostory Azure Databricks, pokud nebyly použity po dobu 90 nebo více dní.

Požadavky

Abyste mohli spravovat osobní přístupové tokeny, musíte být správcem.

Správci účtu Azure Databricks mohou v celém účtu sledovat a rušit tokeny osobního přístupu.

Správci pracovního prostoru Azure Databricks můžou udělat toto:

  • Zakažte osobní přístupové tokeny pro pracovní prostor.
  • Určuje, kteří uživatelé bez oprávnění správce můžou vytvářet tokeny a používat tokeny.
  • Nastavte maximální životnost nových tokenů.
  • Sledujte a zrušte tokeny ve svém pracovním prostoru.

Správa osobních přístupových tokenů ve vašem pracovním prostoru vyžaduje plán Premium.

Monitorování a odvolávání tokenů osobního přístupu v účtu

Správci účtů mohou monitorovat a odvolávat osobní přístupové tokeny z konzole účtu. Dotazy na monitorování tokenů se spouštějí pouze když správce účtu otevře stránku sestavy tokenů.

  1. Jako správce účtu se přihlaste ke konzole účtu .

  2. Na bočním panelu klikněte na Zabezpečení a Tokenová zpráva.

    Můžete filtrovat podle vlastníka tokenu, pracovního prostoru, data vytvoření, data vypršení platnosti a data posledního použití tokenu. Pomocí tlačítek v horní části sestavy můžete filtrovat přístupové tokeny pro neaktivní objekty zabezpečení nebo přístupové tokeny, které nemají datum vypršení platnosti.

  3. Chcete-li exportovat sestavu do souboru CSV, klikněte na Export.

  4. Pokud chcete token odvolat, vyberte token a klikněte na Odvolat.

Povolení nebo zakázání ověřování osobního přístupového tokenu pro pracovní prostor

Ověřování pomocí osobního přístupového tokenu je ve výchozím nastavení povolené pro všechny pracovní prostory Azure Databricks. Toto nastavení můžete změnit na stránce nastavení pracovního prostoru.

Pokud jsou osobní přístupové tokeny pro pracovní prostor zakázány, nemohou být použity k ověření v Azure Databricks a uživatelé pracovního prostoru a instanční objekty služeb nemohou vytvářet nové tokeny. Když zakážete ověřování pomocí osobního přístupového tokenu pro pracovní prostor, žádné tokeny nebudou odstraněny. Pokud jsou tokeny později znovu povolené, budou k dispozici všechny tokeny, jejichž platnost nevypršela.

Pokud chcete zakázat přístup k osobním přístupovým tokenům pro podmnožinu uživatelů, můžete pro pracovní prostor zachovat autentizaci pomocí osobních přístupových tokenů a nastavit jemně odstupňovaná oprávnění pro uživatele a skupiny. Podívejte se , kdo může vytvářet a používat osobní přístupové tokeny.

Varování

Partner Connect a integrace partnerů vyžadují, aby byly v pracovním prostoru povoleny osobní přístupové tokeny.

Zakázání možnosti vytvářet a používat osobní přístupové tokeny pro pracovní prostor:

  1. Přejděte na stránku nastavení.

  2. Klikněte na záložku Upřesnit.

  3. Klikněte na přepínač Osobní přístupové tokeny .

  4. Klikněte na tlačítko Potvrdit.

    Tato změna může trvat několik sekund, než se projeví.

Pomocí rozhraní API konfigurace pracovního prostoru můžete také zakázat osobní přístupové tokeny pracovního prostoru.

Kontrolujte, kdo může vytvářet a používat osobní přístupové tokeny

Správci pracovního prostoru můžou nastavit oprávnění k osobním přístupovým tokenům a kontrolovat, kteří uživatelé, instanční objekty a skupiny můžou vytvářet a používat tokeny. Podrobnosti o konfiguraci oprávnění osobního přístupového tokenu najdete v tématu Správa oprávnění osobního přístupového tokenu.

Nastavte maximální životnost nových osobních přístupových tokenů

Ve výchozím nastavení je maximální životnost nových tokenů 730 dnů (dva roky). Nastavte kratší maximální životnost tokenu v pracovním prostoru pomocí rozhraní příkazového řádku Databricks nebo rozhraní API konfigurace pracovního prostoru. Tento limit platí jenom pro nové tokeny.

Nastavte maxTokenLifetimeDays maximální životnost (ve dnech) pro nové tokeny jako celé číslo. Příklad:

Příkazové rozhraní Databricks

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Rozhraní API pro konfiguraci pracovního prostoru

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Terraform

Pokud chcete použít zprostředkovatele Databricks Terraform ke správě maximální doby životnosti nových tokenů v pracovním prostoru, viz Prostředek databricks_workspace_conf.

Nastavení maxTokenLifetimeDays na "0" odstraní jakýkoli vlastní limit životnosti a vrátí se k výchozímu nastavení systému 730 dnů (dva roky). Toto nastavení použijte k zakázání dříve nakonfigurovaného vlastního limitu.

Oznámení o vypršení platnosti tokenu osobního přístupu

Databricks posílá uživatelům pracovního prostoru e-mailová oznámení přibližně sedm dní před vypršením platnosti jejich osobních přístupových tokenů. Aby uživatelé mohli tato oznámení dostávat, musí mít uživatelská jména založená na e-mailu. Databricks seskupí všechny tokeny s vypršenou platností v jednom pracovním prostoru do jednoho e-mailu.

Oznámení o vypršení platnosti tokenu instančního objektu

Důležité

Tato funkce je v beta verzi.

U tokenů instančního objektu služby Databricks odesílá oznámení o vypršení platnosti správcům pracovního prostoru. Oznámení se odesílají pouze u tokenů instančního objektu s životností delší než sedm dní, které byly použity alespoň jednou.

Monitorování a odvolávání tokenů v pracovním prostoru

Tato část popisuje, jak správci pracovního prostoru můžou ke správě existujících tokenů v pracovním prostoru použít rozhraní příkazového řádku Databricks. Můžete také použít rozhraní API pro správu tokenů. Databricks automaticky odvolá osobní přístupové tokeny, které se nepoužívaly za 90 nebo více dnů.

Získání tokenů pro pracovní prostor

Chcete-li získat tokeny pracovního prostoru:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Odstranění (odvolání) tokenu

Pokud chcete token odstranit, nahraďte TOKEN_ID ID tokenu, který chcete odstranit:

databricks token-management delete TOKEN_ID

Zkontrolujte stav automatického vymezení rozsahu tokenu

Stav automatického určení rozsahu tokenu, odvozené obory a použité obory můžete zkontrolovat pomocí uživatelského rozhraní pracovního prostoru nebo rozhraní API tokenu. Přehled fungování automatického určení rozsahu najdete v tématu Automatické určení rozsahu osobních přístupových tokenů.

U nových tokenů můžete zobrazit navrhované obory v uživatelském rozhraní pracovního prostoru. Pro existující tokeny s přístupem all-API jsou navrhované obory k dispozici pouze prostřednictvím rozhraní API.

Uživatelské rozhraní pracovního prostoru

  1. V pracovním prostoru Azure Databricks klikněte na své uživatelské jméno v pravém horním rohu.
  2. Klikněte na Nastavení.
  3. V levém navigačním podokně klikněte na Vývojář.
  4. Klikněte naSpravovat>.
  5. Zkontrolujte stav automatického určení rozsahu jednotlivých tokenů a jeho historických nebo použitých oborů.

API

Použijte GET /api/2.0/token/list ke kontrole odvozených rozsahů a stavu automatického určování rozsahu.

Nové tokeny: Odpověď obsahuje inferred_scopes, které ukazuje aktuální odvozené rozsahy, a autoscope_state, které ukazuje aktuální stav automatického určování rozsahu.

{
  "token_infos": [
    {
      "token_id": "<token-id>",
      "comment": "example autoscoping completed PAT",
      "scopes": ["authentication"],
      "autoscope_state": "AUTOSCOPE_STATE_COMPLETED",
      "inferred_scopes": ["authentication"]
    }
  ]
}

Existující tokeny: Odpověď obsahuje backfill_scopes pole zobrazující obory odvozené z historického využití rozhraní API.

{
  "token_infos": [
    {
      "token_id": "<token-id>",
      "comment": "example existing all-apis PAT",
      "backfill_scopes": ["authentication"]
    }
  ]
}