Freigeben über

Überwachen und Verwalten von Zugriff auf persönlichen Zugriffstoken

  • Artikel

Um sich bei der Azure Databricks REST API zu authentifizieren, kann ein Benutzer ein persönliches Zugriffstoken erstellen und es in seiner REST-API-Anforderung verwenden. Ein Benutzer kann auch einen Dienstprinzipal erstellen und mit einem persönlichen Acccess-Token verwenden, um Azure Databricks-REST-APIs in seinen CI/CD-Tools und -Automatisierungen aufzurufen. In diesem Artikel wird erläutert, wie Arbeitsbereichsadministratoren von Azure Databricks diese Zugriffstoken in ihrem Arbeitsbereich verwalten können.

Informationen zum Erstellen eines OAuth-Zugriffstokens (anstelle eines PAT) zur Verwendung mit einem Dienstprinzipal in der Automatisierung finden Sie unter Authentifizierung des Zugriffs bei Azure Databricks mit einem Dienstprinzipal unter Verwendung von OAuth (OAuth M2M).

Verwenden von persönlichen Zugriffstoken (PATs) anstelle von OAuth für den Zugriff auf Azure Databricks

Databricks empfiehlt, OAuth-Zugriffstoken anstelle von PATs für mehr Sicherheit und Komfort zu verwenden. Databricks unterstützt weiterhin PATs, empfiehlt Ihnen aber aufgrund des höheren Sicherheitsrisikos, die aktuelle PAT-Nutzung Ihrer Konten zu überprüfen und Ihre Benutzer und Dienstprinzipale auf OAuth-Zugangs-Tokens zu migrieren.

Übersicht über die Verwaltung von persönlichen Zugriffstoken

Hinweis

In der folgenden Dokumentation wird die Verwendung von PATs für Kunden behandelt, die ihren Code noch nicht migriert haben, und stattdessen OAuth zu verwenden. Informationen zur Bewertung der Nutzung von PATs ihrer eigenen Organisation und zum Planen einer Migration von PATs zu OAuth-Zugriffstoken finden Sie unter Bewerten der Verwendung von persönlichen Zugriffstoken in Ihrem Databricks-Konto.

Persönliche Zugriffstoken sind standardmäßig für alle Azure Databricks-Arbeitsbereiche aktiviert, die in 2018 oder später erstellt wurden.

Wenn persönliche Zugriffstoken für einen Arbeitsbereich aktiviert sind, können Benutzer mit der KANN VERWENDEN-Berechtigung persönliche Zugriffstoken für den Zugriff auf Azure Databricks REST-APIs generieren, und Sie können diese Token mit jedem beliebigen Ablaufdatum generieren, einschließlich einer unbegrenzten Lebensdauer. Standardmäßig haben Benutzer, die keine Arbeitsbereichsadministratoren sind, die Berechtigung KANN VERWENDEN nicht, d.h. sie können keine persönlichen Zugangstoken erstellen oder verwenden.

Als Azure Databricks-Arbeitsbereichsadministrator können Sie persönliche Zugriffstoken für einen Arbeitsbereich deaktivieren, Token überwachen und widerrufen, steuern, welche Nicht-Administrator-Benutzer Token erstellen und verwenden können, und Sie können eine maximale Lebensdauer für neue Token festlegen.

Für die Verwaltung persönlicher Zugriffstoken in Ihrem Arbeitsbereich ist der Premium-Plan erforderlich. Informationen zum Erstellen eines persönlichen Zugriffstoken finden Sie unter Authentifizierung mit persönlichem Azure Databricks-Zugriffstoken.

Aktivieren oder Deaktivieren der Authentifizierung mit persönlichen Zugriffstoken für den Arbeitsbereich

Die Authentifizierung mit persönlichen Zugriffstoken ist standardmäßig für alle Azure Databricks-Arbeitsbereiche aktiviert, die in 2018 oder später erstellt wurden. Sie können diese Einstellung auf der Seite mit den Arbeitsbereichseinstellungen ändern.

Wenn persönliche Zugriffstoken für einen Arbeitsbereich deaktiviert sind, können sie nicht zur Authentifizierung bei Azure Databricks verwendet werden, und Arbeitsbereichsbenutzer und Dienstprinzipale können keine neuen Token erstellen. Wenn Sie die Authentifizierung mit persönlichen Zugriffstoken für einen Arbeitsbereich deaktivieren, werden keine Token gelöscht. Wenn Token später erneut aktiviert werden, stehen alle nicht abgelaufenen Token zur Verwendung zur Verfügung.

Wenn Sie den Tokenzugriff für ein Gruppe von Benutzer deaktivieren möchten, können Sie die Authentifizierung mit persönlichen Zugriffstoken für den Arbeitsbereich aktiviert lassen und fein abgestufte Berechtigungen für Benutzer und Gruppen festlegen. Siehe Steuern, wer Token erstellen und verwenden darf.

Warnung

Partner Connect und Partnerintegrationen erfordern, dass persönliche Zugriffstoken in einem Arbeitsbereich aktiviert werden.

So deaktivieren Sie die Möglichkeit, persönliche Zugriffstoken für den Arbeitsbereich zu erstellen und zu verwenden:

  1. Navigieren Sie zur Seite Einstellungen.

  2. Klicken Sie auf die Registerkarte Erweitert.

  3. Klicken Sie auf die Umschaltfläche Persönliche Zugriffstoken.

  4. Klicken Sie auf Confirm (Bestätigen).

    Es kann einige Sekunden dauern, bis diese Änderung wirksam wird.

Sie können die Arbeitsbereichskonfigurations-API auch verwenden, um persönliche Zugriffstoken für den Arbeitsbereich zu deaktivieren.

Steuern, wer Token erstellen und verwenden darf

Arbeitsbereichsadministratoren können Berechtigungen für persönliche Zugriffstoken festlegen, um zu steuern, welche Benutzer, Dienstprinzipale und Gruppen Token erstellen und verwenden können. Ausführliche Informationen zum Konfigurieren von Berechtigungen für persönliche Zugriffstoken finden Sie unter Verwalten von Berechtigungen für persönliche Zugriffstoken.

Maximale Lebensdauer neuer Token festlegen

Sie können die maximale Lebensdauer neuer Token in Ihrem Arbeitsbereich mithilfe der Databricks CLI oder der Arbeitsbereichskonfigurations-API verwalten. Diese Begrenzung gilt nur für neue Token.

Hinweis

Databricks widerruft automatisch persönliche Zugriffstoken, die für 90 oder mehr Tage nicht verwendet werden. Databricks widerrufen Keine Token mit Lebensdauern von mehr als 90 Tagen, solange die Token aktiv verwendet werden.

Als bewährte Methode für die Sicherheit empfiehlt Databricks die Verwendung von OAuth-Token über PATs. Wenn Sie Ihre Authentifizierung von PATs zu OAuth umstellen, empfiehlt Databricks die Verwendung von kurzlebigen Token für eine stärkere Sicherheit.

Legen Sie maxTokenLifetimeDays auf die maximale Tokengültigkeitsdauer neuer Token in Tagen (als ganze Zahl) fest. Wenn Sie sie auf 0 (null) festlegen, können neue Token eine unbeschränkte Gültigkeitsdauer haben. Zum Beispiel:

Databricks-Befehlszeilenschnittstelle

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Arbeitsbereichskonfigurations-API

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Informationen zur Verwendung des Databricks Terraform-Anbieters zum Verwalten der maximalen Lebensdauer für neue Token in einem Arbeitsbereich finden Sie unter databricks_workspace_conf Ressource.

Überwachen und Widerrufen von Token

In diesem Abschnitt wird beschrieben, wie Sie die Databricks CLI zum Verwalten vorhandener Token im Arbeitsbereich verwenden. Sie können auch die Tokenverwaltungs-APIverwenden.

Token für den Arbeitsbereich abrufen

So rufen Sie die Token des Arbeitsbereichs ab:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Löschen (Widerrufen) eines Tokens

Um ein Token zu löschen, ersetzen Sie TOKEN_ID durch die ID des zu löschenden Tokens:

databricks token-management delete TOKEN_ID

Automatische Sperrung alter Zugriffstoken

Databricks widerrufen automatisch PATs für Ihre Azure Databricks-Arbeitsbereiche, wenn das Token in 90 oder mehr Tagen nicht verwendet wurde. Als bewährte Methode sollten Sie die PATs in Ihrem Azure Databricks-Konto regelmäßig überwachen und nicht verwendete entfernen, bevor sie automatisch widerrufen werden. Importieren und führen Sie das Notebook aus, das in der Verwendung von persönlichen Zugriffstoken in Ihrem Databricks-Konto bereitgestellt wird, um die Anzahl der nicht abgelaufenen PATs im Azure Databricks-Konto Ihrer Organisation zu ermitteln.

Databricks empfiehlt, das Azure Databricks-Konto Ihrer Organisation so zu konfigurieren, dass die Verwendung von OAuth-Token für die Zugriffsauthentifizierung anstelle von PATs für eine höhere Sicherheit und benutzerfreundlichere Verwendung möglich ist.