Memantau dan mencabut token akses pribadi

Untuk mengautentikasi ke REST API Azure Databricks, pengguna dapat membuat token akses pribadi (PAT) dan menggunakannya dalam permintaan REST API mereka. Pengguna juga dapat membuat perwakilan layanan dan menggunakannya dengan token akses pribadi untuk memanggil REST API Azure Databricks di alat dan otomatisasi CI/CD mereka. Artikel ini menjelaskan bagaimana admin Azure Databricks dapat mengelola token akses pribadi di ruang kerja mereka. Untuk membuat token akses pribadi, lihat Mengautentikasi dengan token akses pribadi Azure Databricks (warisan).

Menggunakan OAuth alih-alih token akses pribadi

Databricks menyarankan Anda menggunakan token akses OAuth alih-alih PAT untuk keamanan dan kenyamanan yang lebih besar. Databricks terus mendukung PATS, tetapi karena risiko keamanan mereka yang lebih besar, disarankan agar Anda mengaudit penggunaan PAT akun Anda saat ini, dan memigrasikan pengguna dan perwakilan layanan Anda ke token akses OAuth. Untuk membuat token akses OAuth (bukan PAT) untuk digunakan dengan perwakilan layanan dalam otomatisasi, lihat Mengotorisasi akses perwakilan layanan ke Azure Databricks dengan OAuth.

Databricks menyarankan Anda meminimalkan paparan token akses pribadi Anda dengan langkah-langkah berikut:

  1. Atur masa pakai singkat untuk semua token baru yang dibuat di ruang kerja Anda. Masa pakai harus kurang dari 90 hari. Secara default, masa pakai maksimum untuk semua token baru adalah 730 hari (dua tahun).
  2. Bekerja sama dengan administrator dan pengguna ruang kerja Azure Databricks Anda untuk beralih ke token tersebut dengan masa pakai yang lebih pendek.
  3. Cabut semua token berumur panjang untuk mengurangi risiko token lama ini disalahgunakan dari waktu ke waktu. Databricks secara otomatis mencabut semua PAT untuk ruang kerja Azure Databricks Anda saat token belum digunakan dalam 90 hari atau lebih.

Persyaratan

Anda harus menjadi admin untuk mengelola token akses pribadi.

Admin akun Azure Databricks dapat memantau dan mencabut token akses pribadi di seluruh akun.

Admin ruang kerja Azure Databricks dapat melakukan hal berikut:

  • Nonaktifkan token akses pribadi untuk ruang kerja.
  • Mengontrol pengguna non-admin mana yang dapat membuat token dan menggunakan token.
  • Atur masa pakai maksimum untuk token baru.
  • Pantau dan cabut token di ruang kerja mereka.

Mengelola token akses pribadi di ruang kerja Anda memerlukan paket Premium .

Memantau dan mencabut token akses pribadi di akun

Admin akun dapat memantau dan mencabut token akses pribadi dari konsol akun. Kueri untuk memantau token hanya berjalan saat admin akun menggunakan halaman laporan token.

  1. Sebagai admin akun, masuk ke konsol akun .

  2. Di bar samping, klik Laporan keamanan dan Token.

    Anda dapat memfilter menurut pemilik token, ruang kerja, tanggal dibuat, tanggal kedaluwarsa, dan tanggal token terakhir digunakan. Gunakan tombol di bagian atas laporan untuk memfilter token akses untuk prinsipal yang tidak aktif atau token akses tanpa tanggal kedaluwarsa.

  3. Untuk mengekspor laporan ke CSV, klik Ekspor.

  4. Untuk mencabut token, pilih token dan klik Cabut.

Mengaktifkan atau menonaktifkan autentikasi token akses pribadi untuk ruang kerja

Autentikasi token akses pribadi diaktifkan secara default untuk semua ruang kerja Azure Databricks yang dibuat pada 2018 atau yang lebih baru. Anda dapat mengubah pengaturan ini di halaman pengaturan ruang kerja.

Saat token akses pribadi dinonaktifkan untuk ruang kerja, token akses pribadi tidak dapat digunakan untuk mengautentikasi ke Azure Databricks dan pengguna ruang kerja dan perwakilan layanan tidak dapat membuat token baru. Tidak ada token yang dihapus saat Anda menonaktifkan autentikasi token akses pribadi untuk ruang kerja. Jika token diaktifkan kembali nanti, token yang tidak kedaluwarsa tersedia untuk digunakan.

Jika Anda ingin menonaktifkan akses token untuk subset pengguna, Anda dapat mempertahankan aktivasi autentikasi token akses pribadi untuk ruang kerja dan mengatur izin terperinci untuk pengguna dan grup. Lihat Mengontrol siapa yang dapat membuat dan menggunakan token akses pribadi.

Peringatan

Partner Connect dan integrasi mitra memerlukan token akses pribadi untuk diaktifkan di ruang kerja.

Untuk menonaktifkan kemampuan untuk membuat dan menggunakan token akses pribadi untuk ruang kerja:

  1. Buka halaman pengaturan.

  2. Klik tab Tingkat Lanjut.

  3. Klik tombol dwiarah Token Akses Privat.

  4. Klik Konfirmasi.

    Perubahan ini mungkin memerlukan waktu beberapa detik untuk berlaku.

Anda juga dapat menggunakan API konfigurasi Ruang Kerja untuk menonaktifkan token akses pribadi untuk ruang kerja.

Mengontrol siapa yang dapat membuat dan menggunakan token akses pribadi

Admin ruang kerja dapat mengatur izin pada token akses pribadi untuk mengontrol pengguna, perwakilan layanan, dan grup mana yang dapat membuat dan menggunakan token. Untuk detail tentang cara mengonfigurasi izin token akses pribadi, lihat Mengelola izin token akses pribadi.

Mengatur masa pakai maksimum token akses pribadi baru

Secara default, masa pakai maksimum token baru adalah 730 hari (dua tahun). Atur masa pakai token maksimum yang lebih pendek di ruang kerja Anda menggunakan Databricks CLI atau API konfigurasi Ruang Kerja. Batas ini hanya berlaku untuk token baru.

Atur maxTokenLifetimeDays ke masa pakai maksimum (dalam hari) untuk token baru, sebagai bilangan bulat. Contohnya:

Databricks CLI (antarmuka baris perintah)

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

API konfigurasi ruang kerja

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Terraform

Untuk menggunakan penyedia Databricks Terraform untuk mengelola masa pakai maksimum untuk token baru di ruang kerja, lihat sumber daya databricks_workspace_conf.

Pengaturan maxTokenLifetimeDays untuk "0" menghapus batas masa pakai kustom dan kembali ke default sistem 730 hari (dua tahun). Gunakan pengaturan ini untuk menonaktifkan batas kustom yang dikonfigurasi sebelumnya.

Azure Databricks mengirim pemberitahuan email ke pengguna ruang kerja (bukan perwakilan layanan) sekitar tujuh hari sebelum token akses pribadi mereka kedaluwarsa. Pengguna harus memiliki nama pengguna berbasis email untuk menerima pemberitahuan ini. Azure Databricks mengelompokkan semua token yang kedaluwarsa dalam ruang kerja yang sama bersama-sama dalam satu email.

Memantau dan mencabut token di ruang kerja Anda

Bagian ini menjelaskan bagaimana admin ruang kerja dapat menggunakan Databricks CLI untuk mengelola token yang ada di ruang kerja. Anda juga dapat menggunakan API Manajemen Token. Databricks secara otomatis mencabut token akses pribadi yang belum digunakan dalam 90 hari atau lebih.

Dapatkan token untuk ruang kerja

Untuk mendapatkan token ruang kerja:

Phyton

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash (sebuah bahasa shell dan bahasa perintah untuk Unix)

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Menghapus atau mencabut token

Untuk menghapus token, ganti TOKEN_ID dengan id token yang akan dihapus:

databricks token-management delete TOKEN_ID
  • Last updated on