Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um sich bei der Azure Databricks REST-API zu authentifizieren, kann ein Benutzer ein persönliches Zugriffstoken (PAT) erstellen und es in seiner REST-API-Anforderung verwenden. Ein Benutzer kann auch einen Service Principal erstellen und ihn zusammen mit einem persönlichen Zugriffstoken verwenden, um Azure Databricks REST-APIs in seinen CI/CD-Tools und Automatisierungsprozessen aufzurufen. In diesem Artikel wird erläutert, wie Azure Databricks-Administratoren persönliche Zugriffstoken in ihrem Arbeitsbereich verwalten können. Informationen zum Erstellen eines persönlichen Zugriffstokens finden Sie unter "Authentifizieren mit Azure Databricks personal access tokens (Legacy)".
Verwenden von OAuth anstelle von persönlichen Zugriffstoken
Databricks empfiehlt, OAuth-Zugriffstoken anstelle von PATs für mehr Sicherheit und Komfort zu verwenden. Databricks unterstützt weiterhin PATs, aber aufgrund ihres größeren Sicherheitsrisikos wird empfohlen, die aktuelle PAT-Nutzung Ihres Kontos zu überwachen und Ihre Benutzer und Dienstprinzipale zu OAuth-Zugriffstoken zu migrieren. Informationen zum Erstellen eines OAuth-Zugriffstokens (anstelle eines PAT) zur Verwendung mit einem Dienstprinzipal in der Automatisierung finden Sie unter Autorisieren des Dienstprinzipalzugriffs auf Azure Databricks mit OAuth.
Databricks empfiehlt Ihnen, Ihre persönliche Zugriffstokenexposition mit den folgenden Schritten zu minimieren:
- Legen Sie eine kurze Lebensdauer für alle neuen Token fest, die in Ihren Arbeitsbereichen erstellt wurden. Die Lebensdauer sollte weniger als 90 Tage betragen. Standardmäßig beträgt die maximale Lebensdauer für alle neuen Token 730 Tage (zwei Jahre).
- Arbeiten Sie mit Ihren Azure Databricks-Arbeitsbereichsadministratoren und -Benutzern zusammen, um zu diesen Token mit kürzeren Lebensdauern zu wechseln.
- Widerrufen Sie alle langlebigen Token, um das Risiko zu verringern, dass diese älteren Token im Laufe der Zeit missbraucht werden. Databricks widerruft automatisch alle PATs für Ihre Azure Databricks-Arbeitsbereiche, wenn das Token in 90 oder mehr Tagen nicht verwendet wurde.
Anforderungen
Sie müssen eine verwaltende Fachkraft sein, um persönliche Zugriffstoken zu verwalten.
Azure Databricks Kontoadministratoren können persönliche Zugriffstoken für das gesamte Konto überwachen und widerrufen.
Fachkräfte für die Verwaltung von Azure Databricks-Arbeitsbereichen können folgende Aktionen ausführen:
- Deaktivieren von persönlichn Zugriffstoken für einen Arbeitsbereich.
- Steuern, welche nichtverwaltende Benutzende Token erstellen und verwenden können.
- Festlegen einer maximalen Lebensdauer für neue Token.
- Überwachen und Widerrufen von Token in ihrem Arbeitsbereich
Für die Verwaltung persönlicher Zugriffstoken in Ihrem Arbeitsbereich ist der Premium-Plan erforderlich.
Überwachen und Widerrufen von persönlichen Zugriffstoken im Konto
Kontoverwaltende IT-Fachkräfte können persönliche Zugriffstoken über die Kontokonsole überwachen und widerrufen. Die Abfragen zum Überwachen von Token werden nur ausgeführt, wenn kontoverwaltende IT-Fachkräfte die Tokenberichtseite verwenden.
Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
Klicken Sie in der Randleiste auf "Sicherheits- und Tokenbericht".
Sie können nach dem Tokenbesitzer, dem Arbeitsbereich, dem Erstellungsdatum, dem Ablaufdatum und dem Datum der letzten Verwendung des Tokens filtern. Verwenden Sie die Schaltflächen oben im Bericht, um nach Zugriffstoken für inaktive Prinzipale oder Zugriffstoken ohne Ablaufdatum zu filtern.
Klicken Sie auf Exportieren, um einen Bericht in eine CSV-Datei zu exportieren.
Um ein Token zu widerrufen, wählen Sie ein Token aus, und klicken Sie auf Widerrufen.
Aktivieren oder Deaktivieren der Authentifizierung mit persönlichen Zugriffstoken für den Arbeitsbereich
Die Authentifizierung des persönlichen Zugriffstokens ist standardmäßig für alle Azure Databricks Arbeitsbereiche aktiviert. Sie können diese Einstellung auf der Seite mit den Arbeitsbereichseinstellungen ändern.
Wenn persönliche Zugriffstoken für einen Arbeitsbereich deaktiviert sind, können sie nicht zur Authentifizierung bei Azure Databricks verwendet werden, und Arbeitsbereichsbenutzer und Dienstprinzipale können keine neuen Token erstellen. Wenn Sie die Authentifizierung mit persönlichen Zugriffstoken für einen Arbeitsbereich deaktivieren, werden keine Token gelöscht. Wenn Token später erneut aktiviert werden, stehen alle nicht abgelaufenen Token zur Verwendung zur Verfügung.
Wenn Sie den Tokenzugriff für ein Gruppe von Benutzer deaktivieren möchten, können Sie die Authentifizierung mit persönlichen Zugriffstoken für den Arbeitsbereich aktiviert lassen und fein abgestufte Berechtigungen für Benutzer und Gruppen festlegen. Sehen Sie sich an, wie Sie kontrollieren können, wer persönliche Zugriffstoken erstellen und verwenden darf.
Warnung
Partner Connect und Partnerintegrationen erfordern, dass persönliche Zugriffstoken in einem Arbeitsbereich aktiviert werden.
So deaktivieren Sie die Möglichkeit, persönliche Zugriffstoken für den Arbeitsbereich zu erstellen und zu verwenden:
Navigieren Sie zur Seite Einstellungen.
Klicken Sie auf die Registerkarte Erweitert.
Klicken Sie auf die Umschaltfläche Persönliche Zugriffstoken.
Klicken Sie auf Confirm (Bestätigen).
Es kann einige Sekunden dauern, bis diese Änderung wirksam wird.
Sie können die Arbeitsbereichskonfigurations-API auch verwenden, um persönliche Zugriffstoken für den Arbeitsbereich zu deaktivieren.
Steuern, wer persönliche Zugriffstoken erstellen und verwenden kann
Arbeitsbereichsadministratoren können Berechtigungen für persönliche Zugriffstoken festlegen, um zu steuern, welche Benutzer, Dienstprinzipale und Gruppen Token erstellen und verwenden können. Ausführliche Informationen zum Konfigurieren von Berechtigungen für persönliche Zugriffstoken finden Sie unter Verwalten von Berechtigungen für persönliche Zugriffstoken.
Festlegen der maximalen Lebensdauer neuer persönlicher Zugriffstoken
Standardmäßig beträgt die maximale Lebensdauer aller neuen Token 730 Tage (zwei Jahre). Legen Sie eine kürzere maximale Tokenlebensdauer in Ihrem Arbeitsbereich mithilfe der Databricks CLI oder der Arbeitsbereichskonfigurations-API fest. Diese Begrenzung gilt nur für neue Token.
Legen Sie maxTokenLifetimeDays als ganze Zahl auf die maximale Lebensdauer (in Tagen) für neue Tokens fest. Zum Beispiel:
Databricks-Befehlszeilenschnittstelle
databricks workspace-conf set-status --json '{
"maxTokenLifetimeDays": "90"
}'
Arbeitsbereichskonfigurations-API
curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
-d '{
"maxTokenLifetimeDays": "90"
}'
Terraform
Informationen zur Verwendung des Databricks Terraform-Anbieters zum Verwalten der maximalen Lebensdauer für neue Token in einem Arbeitsbereich finden Sie unter databricks_workspace_conf Ressource.
Das Festlegen von
Ablaufbenachrichtigungen für persönliche Zugriffstoken
Databricks sendet E-Mail-Benachrichtigungen an Arbeitsbereichsbenutzer ungefähr sieben Tage, bevor ihre persönlichen Zugriffstoken ablaufen. Benutzer müssen über E-Mail-basierte Benutzernamen verfügen, um diese Benachrichtigungen zu erhalten. Databricks gruppiert alle ablaufenden Token innerhalb desselben Arbeitsbereichs zusammen in einer einzelnen E-Mail.
Ablaufbenachrichtigungen für Dienstprinzipaltoken
Von Bedeutung
Dieses Feature befindet sich in der Betaversion.
Für Service-Principal-Token sendet Databricks Ablaufbenachrichtigungen an Workspace-Administratoren. Benachrichtigungen werden nur für Dienstprinzipaltoken mit einer Lebensdauer von mehr als sieben Tagen gesendet, die mindestens einmal verwendet wurden.
Überwachen und Widerrufen von Token in Ihrem Arbeitsbereich
In diesem Abschnitt wird beschrieben, wie Fachkräfte für die Arbeitsbereichsverwaltung die Databricks CLI zum Verwalten vorhandener Token im Arbeitsbereich verwenden. Sie können auch die Tokenverwaltungs-APIverwenden. Databricks widerruft automatisch persönliche Zugriffstoken, die in 90 oder mehr Tagen nicht verwendet wurden.
Token für den Arbeitsbereich abrufen
So rufen Sie die Token des Arbeitsbereichs ab:
Python
from databricks.sdk import WorkspaceClient
w = WorkspaceClient()
spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')
display(spark.sql('select * from tokens order by creation_time'))
Bash
# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list
Löschen (Widerrufen) eines Tokens
Um ein Token zu löschen, ersetzen Sie TOKEN_ID durch die ID des zu löschenden Tokens:
databricks token-management delete TOKEN_ID
Status der automatischen Geltungsbereichszuweisung des Tokens überprüfen
Sie können den Status der automatischen Bereichszuweisung eines Tokens, die abgeleiteten Berechtigungsbereiche und die angewendeten Berechtigungsbereiche entweder über die Workspace-Benutzeroberfläche oder die Token-API einsehen. Eine Übersicht über die Funktionsweise der automatischen Bereichsdefinition finden Sie unter "Automatische Bereichsdefinition für persönliche Zugriffstoken".
Für neue Token können Sie vorgeschlagene Berechtigungsumfänge in der Benutzeroberfläche des Arbeitsbereichs einsehen. Für vorhandene Token mit Zugriff auf alle APIs sind vorgeschlagene Bereiche nur über die API verfügbar.
Benutzeroberfläche des Arbeitsbereichs
- Klicken Sie in Ihrem Azure Databricks Arbeitsbereich in der oberen rechten Ecke auf Ihren Benutzernamen.
- Klicken Sie auf Einstellungen.
- Klicken Sie im linken Navigationsbereich auf "Entwicklertools".
- Klicken Sie auf Zugriffstoken>verwalten.
- Überprüfen Sie den Status der automatischen Bereichszuweisung jedes Tokens sowie dessen historische oder angewendete Gültigkeitsbereiche.
API
Verwenden Sie GET /api/2.0/token/list, um abgeleitete Bereiche und den Status der automatischen Bereichsdefinition zu überprüfen.
Neue Token: Die Antwort enthält inferred_scopes, das die aktuellen abgeleiteten Geltungsbereiche anzeigt, und autoscope_state, das den aktuellen Status der automatischen Bereichszuweisung anzeigt.
{
"token_infos": [
{
"token_id": "<token-id>",
"comment": "example autoscoping completed PAT",
"scopes": ["authentication"],
"autoscope_state": "AUTOSCOPE_STATE_COMPLETED",
"inferred_scopes": ["authentication"]
}
]
}
Vorhandene Token: Die Antwort enthält ein backfill_scopes Feld, das Bereiche anzeigt, die aus der verlaufsbezogenen API-Verwendung abgeleitet wurden.
{
"token_infos": [
{
"token_id": "<token-id>",
"comment": "example existing all-apis PAT",
"backfill_scopes": ["authentication"]
}
]
}