Sdílet prostřednictvím

Monitorování a odvolávání osobních přístupových tokenů

  • Článek

Aby se uživatel mohl ověřit v rozhraní AZURE Databricks REST API, může vytvořit osobní přístupový token (PAT) a použít ho v požadavku rest API. Uživatel může také vytvořit instanční objekt a použít ho s osobním přístupovým tokenem k volání rozhraní REST API Služby Azure Databricks v nástrojích CI/CD a automatizaci. Tento článek vysvětluje, jak můžou správci Azure Databricks spravovat osobní přístupové tokeny ve svém pracovním prostoru. Pokud chcete vytvořit osobní přístupový token, přečtěte si téma Ověřování tokenů pat pro Azure Databricks.

Použití OAuth místo osobních přístupových tokenů

Databricks doporučuje místo patů používat přístupové tokeny OAuth, abyste měli lepší zabezpečení a pohodlí. Databricks nadále podporuje paty, ale vzhledem k jejich většímu bezpečnostnímu riziku se doporučuje auditovat aktuální využití PAT vašeho účtu a migrovat uživatele a instanční objekty na přístupové tokeny OAuth. Pokud chcete vytvořit přístupový token OAuth (místo PAT) pro použití s instančním objektem v automatizaci, přečtěte si téma Ověřování přístupu k Azure Databricks pomocí instančního objektu pomocí OAuth (OAuth M2M).

Databricks doporučuje minimalizovat vystavení tokenu pat pomocí následujících kroků:

  1. Nastavte krátkou životnost pro všechny nové tokeny vytvořené ve vašich pracovních prostorech. Životnost by měla být kratší než 90 dnů.
  2. Spolupracujte se správci a uživateli pracovního prostoru Azure Databricks a přepněte na tyto tokeny s kratší životností.
  3. Odvoláte všechny dlouhodobé tokeny, abyste snížili riziko zneužití těchto starších tokenů v průběhu času. Databricks automaticky odvolá osobní přístupové tokeny, které se nepoužívaly za 90 nebo více dnů.

Pokud chcete posoudit využití PATs ve vaší organizaci a naplánovat migraci z PAT na přístupové tokeny OAuth, přečtěte si téma Posouzení využití tokenů pat ve vašem účtu Databricks.

Požadavky

  • Musíte být správcem pracovního prostoru Azure Databricks, abyste zakázali osobní přístupové tokeny pro pracovní prostor, monitorujte a odvolali tokeny, určete, kteří uživatelé bez oprávnění správce můžou vytvářet tokeny a používat tokeny, a nastavit maximální životnost nových tokenů.
  • Váš pracovní prostor Azure Databricks musí být v plánu Premium.

Povolení nebo zakázání ověřování osobního přístupového tokenu pro pracovní prostor

Ověřování tokenů pat je ve výchozím nastavení povolené pro všechny pracovní prostory Azure Databricks vytvořené v roce 2018 nebo novějším. Toto nastavení můžete změnit na stránce nastavení pracovního prostoru.

Pokud jsou osobní přístupové tokeny pro pracovní prostor zakázané, nejde použít osobní přístupové tokeny k ověření uživatelům a instančním objektům Azure Databricks a instančním objektům. Když zakážete ověřování pomocí tokenu pat pro pracovní prostor, nebudou odstraněny žádné tokeny. Pokud jsou tokeny později znovu povolené, budou k dispozici všechny tokeny, jejichž platnost nevypršela.

Pokud chcete zakázat přístup k tokenům pro podmnožinu uživatelů, můžete pro pracovní prostor zachovat ověřování pomocí tokenu pat a nastavit jemně odstupňovaná oprávnění pro uživatele a skupiny. Podívejte se , kdo může vytvářet a používat osobní přístupové tokeny.

Upozorňující

Integrace Partner Connect a partnerů vyžadují, aby byly v pracovním prostoru povolené osobní přístupové tokeny.

Zakázání možnosti vytvářet a používat osobní přístupové tokeny pro pracovní prostor:

  1. Přejděte na stránku nastavení.

  2. Klikněte na kartu Upřesnit .

  3. Klikněte na přepínač Osobní přístupové tokeny .

  4. Klikněte na tlačítko Potvrdit.

    Tato změna může trvat několik sekund, než se projeví.

Pomocí rozhraní API konfigurace pracovního prostoru můžete také zakázat osobní přístupové tokeny pracovního prostoru.

Řízení, kdo může vytvářet a používat osobní přístupové tokeny

Správci pracovního prostoru můžou nastavit oprávnění k osobním přístupovým tokenům a kontrolovat, kteří uživatelé, instanční objekty a skupiny můžou vytvářet a používat tokeny. Podrobnosti o konfiguraci oprávnění osobního přístupového tokenu najdete v tématu Správa oprávnění osobního přístupového tokenu.

Nastavení maximální životnosti nových tokenů patu

Maximální životnost nových tokenů v pracovním prostoru můžete spravovat pomocí rozhraní příkazového řádku Databricks nebo rozhraní API pro konfiguraci pracovního prostoru. Tento limit platí jenom pro nové tokeny.

Poznámka:

Databricks automaticky odvolá nepoužívané tokeny pat po dobu 90 nebo více dnů. Databricks neodvolá tokeny s životnostmi delšími než 90 dnů, pokud se tokeny aktivně používají.

Jako osvědčený postup zabezpečení doporučuje Databricks používat tokeny OAuth pro paty. Pokud přecházíte z PAT na OAuth, databricks doporučuje používat krátkodobé tokeny pro silnější zabezpečení.

Nastavte maxTokenLifetimeDays maximální dobu životnosti nových tokenů ve dnech jako celé číslo. Pokud ho nastavíte na nulu, budou mít nové tokeny povolené bez limitu životnosti. Příklad:

Databricks CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Rozhraní API pro konfiguraci pracovního prostoru

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Pokud chcete použít zprostředkovatele Databricks Terraform ke správě maximální životnosti nových tokenů v pracovním prostoru, podívejte se na databricks_workspace_conf Prostředek.

Monitorování a odvolávání tokenů

Tato část popisuje, jak pomocí rozhraní příkazového řádku Databricks spravovat existující tokeny v pracovním prostoru. Můžete také použít rozhraní API pro správu tokenů. Databricks automaticky odvolá osobní přístupové tokeny, které se nepoužívaly za 90 nebo více dnů.

Získání tokenů pro pracovní prostor

Získání tokenů pracovního prostoru:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Odstranění (odvolání) tokenu

Pokud chcete token odstranit, nahraďte TOKEN_ID ID tokenu, který chcete odstranit:

databricks token-management delete TOKEN_ID