Megosztás a következőn keresztül:

Személyes hozzáférési jogkivonatok monitorozása és visszavonása

  • Cikk

Az Azure Databricks REST API-val való hitelesítéshez a felhasználó létrehozhat egy személyes hozzáférési jogkivonatot (PAT), és felhasználhatja azt a REST API-kérésben. A felhasználók létrehozhatnak egy szolgáltatásnevet is, és személyes hozzáférési jogkivonattal meghívhatják az Azure Databricks REST API-kat a CI-/CD-eszközeiken és az automatizálásukon. Ez a cikk azt ismerteti, hogy az Azure Databricks rendszergazdái hogyan kezelhetik a személyes hozzáférési jogkivonatokat a munkaterületükön. Személyes hozzáférési jogkivonat létrehozásához tekintse meg az Azure Databricks személyes hozzáférési jogkivonat-hitelesítését.

OAuth használata személyes hozzáférési jogkivonatok helyett

A Databricks azt javasolja, hogy A PAT-k helyett OAuth hozzáférési jogkivonatokat használjon a nagyobb biztonság és kényelem érdekében. A Databricks továbbra is támogatja a paT-okat, de nagyobb biztonsági kockázatuk miatt javasoljuk, hogy ellenőrizze a fiók aktuális PAT-használatát, és migrálja felhasználóit és szolgáltatásneveit OAuth-hozzáférési jogkivonatokra. Az OAuth hozzáférési jogkivonat (PAT helyett) az automation szolgáltatásnévvel való használatához lásd : Azure Databricks-hozzáférés hitelesítése szolgáltatásnévvel az OAuth (OAuth M2M) használatával.

A Databricks azt javasolja, hogy minimalizálja a személyes hozzáférési jogkivonatok expozícióját az alábbi lépésekkel:

  1. Állítson be egy rövid élettartamot a munkaterületeken létrehozott összes új jogkivonathoz. Az élettartamnak 90 napnál rövidebbnek kell lennie.
  2. Az Azure Databricks-munkaterület rendszergazdáival és felhasználóival együttműködve váltson ezekre a jogkivonatokra rövidebb élettartammal.
  3. Vonja vissza az összes hosszú élettartamú jogkivonatot, hogy csökkentse annak kockázatát, hogy ezek a régebbi jogkivonatok idővel visszaéljenek. A Databricks automatikusan visszavonja a 90 vagy több napja nem használt személyes hozzáférési jogkivonatokat.

Ha szeretné felmérni a saját szervezete paT-jainak használatát, és megtervezni a paT-ról OAuth-hozzáférési jogkivonatokra való migrálást, olvassa el a Személyes hozzáférési jogkivonat használatának felmérése a Databricks-fiókban című témakört.

Követelmények

  • Azure Databricks-munkaterület rendszergazdájának kell lennie a munkaterület személyes hozzáférési jogkivonatainak letiltásához, a jogkivonatok figyeléséhez és visszavonásához, annak szabályozásához, hogy mely nem rendszergazdai felhasználók hozhatnak létre jogkivonatokat, és használhatnak jogkivonatokat, és beállíthatja az új jogkivonatok maximális élettartamát.
  • Az Azure Databricks-munkaterületnek a Prémium csomagban kell lennie.

Személyes hozzáférési jogkivonat hitelesítésének engedélyezése vagy letiltása a munkaterületen

A személyes hozzáférési jogkivonat hitelesítése alapértelmezés szerint engedélyezve van a 2018-ban vagy újabb verzióban létrehozott összes Azure Databricks-munkaterületen. Ezt a beállítást a munkaterület beállításai lapon módosíthatja.

Ha a személyes hozzáférési jogkivonatok le vannak tiltva egy munkaterületen, a személyes hozzáférési jogkivonatok nem használhatók az Azure Databricks hitelesítésére, és a munkaterület felhasználói és a szolgáltatásnevek nem hozhatnak létre új jogkivonatokat. A rendszer nem törli a jogkivonatokat, ha letiltja a személyes hozzáférési jogkivonatok hitelesítését egy munkaterületen. Ha a jogkivonatok később újra engedélyezve lesznek, a nem lejárt jogkivonatok felhasználhatók.

Ha le szeretné tiltani a jogkivonat-hozzáférést a felhasználók egy részhalmazához, a személyes hozzáférési jogkivonat hitelesítése engedélyezve marad a munkaterületen, és részletes engedélyeket állíthat be a felhasználók és csoportok számára. Lásd: A személyes hozzáférési jogkivonatok létrehozásának és használatának szabályozása.

Figyelmeztetés

A Partner Connect és a partnerintegrációk használatához engedélyezni kell a személyes hozzáférési jogkivonatokat egy munkaterületen.

Személyes hozzáférési jogkivonatok létrehozásának és használatának letiltása a munkaterületen:

  1. Lépjen a beállítások lapra.

  2. Kattintson a Speciális fülre.

  3. Kattintson a Személyes hozzáférési jogkivonatok kapcsolóra.

  4. Kattintson a Megerősítés gombra.

    A módosítás érvénybe lépése eltarthat néhány másodpercig.

A Munkaterület konfigurációs API-jának használatával is letilthatja a munkaterület személyes hozzáférési jogkivonatait.

A személyes hozzáférési jogkivonatok létrehozásának és használatának szabályozása

A munkaterület rendszergazdái a személyes hozzáférési jogkivonatokra vonatkozó engedélyeket állíthatják be annak szabályozására, hogy mely felhasználók, szolgáltatásnevek és csoportok hozhatnak létre és használhatnak jogkivonatokat. A személyes hozzáférési jogkivonat-engedélyek konfigurálásáról további információt a személyes hozzáférési jogkivonat engedélyeinek kezelése című témakörben talál.

Új személyes hozzáférési jogkivonatok maximális élettartamának beállítása

A Munkaterület új jogkivonatainak maximális élettartamát a Databricks parancssori felületével vagy a Munkaterület konfigurációs API-val kezelheti. Ez a korlát csak az új jogkivonatokra vonatkozik.

Feljegyzés

A Databricks automatikusan visszavonja a 90 vagy több napig nem használt személyes hozzáférési jogkivonatokat. A Databricks nem vonja vissza a 90 napot meghaladó élettartamú jogkivonatokat, amíg a jogkivonatokat aktívan használják.

Ajánlott biztonsági eljárásként a Databricks javasolja az OAuth-jogkivonatok használatát PAT-kon keresztül. Ha a hitelesítést PAT-ről OAuth-ra váltja át, a Databricks a rövid élettartamú jogkivonatok használatát javasolja az erősebb biztonság érdekében.

Állítsa maxTokenLifetimeDays be az új jogkivonatok maximális élettartamát napokban, egész számként. Ha nullára állítja, az új jogkivonatok élettartama nem korlátozható. Példa:

A Databricks parancssori felülete

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Munkaterület konfigurációs API-ja

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Ha a Databricks Terraform-szolgáltatóval szeretné kezelni a munkaterületen lévő új jogkivonatok maximális élettartamát, tekintse meg databricks_workspace_conf erőforrást.

Jogkivonatok figyelése és visszavonása

Ez a szakasz bemutatja, hogyan kezelheti a meglévő jogkivonatokat a munkaterületen a Databricks parancssori felületével. A Token Management API-t is használhatja. A Databricks automatikusan visszavonja a 90 vagy több napja nem használt személyes hozzáférési jogkivonatokat.

Jogkivonatok lekérése a munkaterülethez

A munkaterület jogkivonatainak lekérése:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Jogkivonat törlése (visszavonása)

Jogkivonat törléséhez cserélje le a TOKEN_ID a törölni kívánt jogkivonat azonosítójára:

databricks token-management delete TOKEN_ID