Monitorování a správa osobních přístupových tokenů
Aby se uživatel mohl ověřit v rozhraní REST API služby Azure Databricks, může vytvořit osobní přístupový token a použít ho v požadavku rozhraní REST API. Tento článek vysvětluje, jak můžou správci pracovního prostoru spravovat osobní přístupové tokeny ve svém pracovním prostoru.
Pokud chcete vytvořit osobní přístupový token, přečtěte si téma Ověřování tokenů pat pro Azure Databricks.
Přehled správy osobních přístupových tokenů
Osobní přístupové tokeny jsou ve výchozím nastavení povolené pro všechny pracovní prostory Azure Databricks vytvořené v roce 2018 nebo novějším.
Pokud jsou v pracovním prostoru povolené tokeny patového přístupu, můžou uživatelé s oprávněním CAN USE generovat osobní přístupové tokeny pro přístup k rozhraním REST API Služby Azure Databricks a můžou tyto tokeny vygenerovat s libovolným datem vypršení platnosti, včetně neomezené životnosti. Ve výchozím nastavení nemají žádní uživatelé pracovního prostoru, který není správcem, oprávnění CAN USE, což znamená, že nemůžou vytvářet ani používat osobní přístupové tokeny.
Jako správce pracovního prostoru Azure Databricks můžete zakázat osobní přístupové tokeny pro pracovní prostor, monitorovat a odvolávat tokeny, řídit, kteří uživatelé bez oprávnění správce můžou vytvářet tokeny a používat tokeny, a nastavit maximální životnost nových tokenů.
Správa osobních přístupových tokenů ve vašem pracovním prostoru vyžaduje plán Premium. Pokud chcete vytvořit osobní přístupový token, přečtěte si téma Ověřování tokenů pat pro Azure Databricks.
Povolení nebo zakázání ověřování osobního přístupového tokenu pro pracovní prostor
Ověřování tokenů pat je ve výchozím nastavení povolené pro všechny pracovní prostory Azure Databricks vytvořené v roce 2018 nebo novějším. Toto nastavení můžete změnit na stránce nastavení pracovního prostoru.
Pokud jsou osobní přístupové tokeny pro pracovní prostor zakázané, nejde použít osobní přístupové tokeny k ověření uživatelům a instančním objektům Azure Databricks a instančním objektům. Když zakážete ověřování pomocí tokenu pat pro pracovní prostor, nebudou odstraněny žádné tokeny. Pokud jsou tokeny později znovu povolené, budou k dispozici všechny tokeny, jejichž platnost nevypršela.
Pokud chcete zakázat přístup k tokenům pro podmnožinu uživatelů, můžete pro pracovní prostor zachovat ověřování pomocí tokenu pat a nastavit jemně odstupňovaná oprávnění pro uživatele a skupiny. Podívejte se , kdo může vytvářet a používat tokeny.
Upozorňující
Partnerské Připojení a integrace partnerů vyžadují, aby byly v pracovním prostoru povolené osobní přístupové tokeny.
Zakázání možnosti vytvářet a používat osobní přístupové tokeny pro pracovní prostor:
Přejděte na stránku nastavení.
Klikněte na kartu Upřesnit .
Klikněte na přepínač Osobní přístupové tokeny .
Klikněte na tlačítko Potvrdit.
Tato změna může trvat několik sekund, než se projeví.
Pomocí rozhraní API konfigurace pracovního prostoru můžete také zakázat osobní přístupové tokeny pracovního prostoru.
Řízení, kdo může vytvářet a používat tokeny
Správci pracovního prostoru můžou nastavit oprávnění k osobním přístupovým tokenům pro řízení, kteří uživatelé, instanční objekty a skupiny můžou vytvářet a používat tokeny. Podrobnosti o konfiguraci oprávnění osobního přístupového tokenu najdete v tématu Správa přístupu ke službě Azure Databricks Automation.
Nastavení maximální životnosti nových tokenů
Maximální životnost nových tokenů v pracovním prostoru můžete spravovat pomocí rozhraní příkazového řádku Databricks. Tento limit platí jenom pro nové tokeny.
Nastavte maxTokenLifetimeDays maximální dobu životnosti nových tokenů ve dnech jako celé číslo. Pokud ho nastavíte na nulu, budou mít nové tokeny povolené bez limitu životnosti. Příklad:
databricks workspace-conf set-status --json '{
"maxTokenLifetimeDays": "90"
}'
Rozhraní API konfigurace pracovního prostoru můžete také použít ke správě maximální životnosti nových tokenů v pracovním prostoru.
Monitorování a odvolávání tokenů
Tato část popisuje, jak pomocí rozhraní příkazového řádku Databricks spravovat existující tokeny v pracovním prostoru. Můžete také použít rozhraní API pro správu tokenů.
Získání tokenů pro pracovní prostor
Získání tokenů pracovního prostoru:
databricks token-management list
Výsledky můžete filtrovat podle uživatele pomocí příznaků created-by-id (k filtrování podle ID uživatele) nebo created-by-username (filtrování podle uživatelského jména).
Příklad:
databricks token-management list --created-by-username user@company.com
Příklad odpovědi:
ID Created By Comment
token-id user@company.com dev
Odstranění (odvolání) tokenu
Pokud chcete token odstranit, nahraďte TOKEN_ID ID tokenu, který chcete odstranit:
databricks token-management delete TOKEN_ID
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro