Bagikan melalui

Memantau dan mengelola akses ke token akses pribadi

  • Artikel

Untuk mengautentikasi ke REST API Azure Databricks, pengguna dapat membuat token akses pribadi dan menggunakannya dalam permintaan REST API mereka. Pengguna juga dapat membuat perwakilan layanan dan menggunakannya dengan token akuses pribadi untuk memanggil REST API Azure Databricks di alat dan otomatisasi CI/CD mereka. Artikel ini menjelaskan bagaimana admin ruang kerja Azure Databricks dapat mengelola token akses ini di ruang kerja mereka.

Untuk membuat token akses OAuth (bukan PAT) untuk digunakan dengan perwakilan layanan dalam otomatisasi, lihat Mengautentikasi akses ke Azure Databricks dengan perwakilan layanan menggunakan OAuth (OAuth M2M).

Menggunakan token akses pribadi (PAT) alih-alih OAuth untuk akses ke Azure Databricks

Databricks menyarankan Anda menggunakan token akses OAuth alih-alih PAT untuk keamanan dan kenyamanan yang lebih besar. Databricks terus mendukung PATS tetapi karena risiko keamanannya yang lebih besar menunjukkan bahwa Anda mengaudit penggunaan PAT akun Anda saat ini dan memigrasikan pengguna dan perwakilan layanan Anda ke token akses OAuth.

Gambaran umum manajemen token akses pribadi

Catatan

Dokumentasi berikut mencakup penggunaan PATs untuk pelanggan yang belum memigrasikan kode mereka untuk menggunakan OAuth sebagai gantinya. Untuk menilai penggunaan PAT organisasi Anda sendiri dan merencanakan migrasi dari PATs ke token akses OAuth, lihat Menilai penggunaan token akses pribadi di akun Databricks Anda.

Token akses pribadi diaktifkan secara default untuk semua ruang kerja Azure Databricks yang dibuat pada tahun 2018 atau yang lebih baru.

Ketika token akses pribadi diaktifkan di ruang kerja, pengguna dengan izin CAN USE dapat menghasilkan token akses pribadi untuk mengakses REST API Azure Databricks, dan mereka dapat menghasilkan token ini dengan tanggal kedaluwarsa yang mereka sukai, termasuk masa pakai yang tidak terbatas. Secara default, tidak ada pengguna ruang kerja non-admin yang memiliki izin CAN USE, yang berarti bahwa mereka tidak dapat membuat atau menggunakan token akses pribadi.

Sebagai admin ruang kerja Azure Databricks, Anda dapat menonaktifkan token akses pribadi untuk ruang kerja, memantau dan mencabut token, mengontrol pengguna non-admin mana yang dapat membuat token dan menggunakan token, dan mengatur masa pakai maksimum untuk token baru.

Mengelola token akses pribadi di ruang kerja Anda memerlukan paket Premium. Untuk membuat token akses pribadi, lihat Autentikasi token akses pribadi Azure Databricks.

Mengaktifkan atau menonaktifkan autentikasi token akses pribadi untuk ruang kerja

Autentikasi token akses pribadi diaktifkan secara default untuk semua ruang kerja Azure Databricks yang dibuat pada 2018 atau yang lebih baru. Anda dapat mengubah pengaturan ini di halaman pengaturan ruang kerja.

Saat token akses pribadi dinonaktifkan untuk ruang kerja, token akses pribadi tidak dapat digunakan untuk mengautentikasi ke Azure Databricks dan pengguna ruang kerja dan perwakilan layanan tidak dapat membuat token baru. Tidak ada token yang dihapus saat Anda menonaktifkan autentikasi token akses pribadi untuk ruang kerja. Jika token diaktifkan kembali nanti, token yang tidak kedaluwarsa tersedia untuk digunakan.

Jika Anda ingin menonaktifkan akses token untuk subset pengguna, Anda dapat menjaga autentikasi token akses pribadi tetap diaktifkan untuk ruang kerja dan mengatur izin menenangkan untuk pengguna dan grup. Lihat Mengontrol siapa yang dapat membuat dan menggunakan token.

Peringatan

Integrasi Mitra Connect dan mitra memerlukan token akses pribadi untuk diaktifkan di ruang kerja.

Untuk menonaktifkan kemampuan untuk membuat dan menggunakan token akses pribadi untuk ruang kerja:

  1. Buka halaman pengaturan.

  2. Klik tab Tingkat Lanjut.

  3. Klik tombol dwiarah Token Akses Privat.

  4. Klik Konfirmasi.

    Perubahan ini mungkin memerlukan waktu beberapa detik untuk berlaku.

Anda juga dapat menggunakan API konfigurasi Ruang Kerja untuk menonaktifkan token akses pribadi untuk ruang kerja.

Mengontrol siapa yang dapat membuat dan menggunakan token

Admin ruang kerja dapat mengatur izin pada token akses pribadi untuk mengontrol pengguna, perwakilan layanan, dan grup mana yang dapat membuat dan menggunakan token. Untuk detail tentang cara mengonfigurasi izin token akses pribadi, lihat Mengelola izin token akses pribadi.

Mengatur masa pakai maksimum token baru

Anda dapat mengelola masa pakai maksimum token baru di ruang kerja Anda menggunakan Databricks CLI atau API konfigurasi Ruang Kerja. Batas ini hanya berlaku untuk token baru.

Catatan

Databricks secara otomatis mencabut token akses pribadi yang tidak digunakan selama 90 hari atau lebih. Databricks tidak akan mencabut token dengan masa pakai melebihi 90 hari selama token digunakan secara aktif.

Sebagai praktik terbaik keamanan, Databricks merekomendasikan penggunaan token OAuth melalui PAT. Jika Anda melakukan transisi autentikasi dari PAT ke OAuth, Databricks merekomendasikan penggunaan token berumur pendek untuk keamanan yang lebih kuat.

Atur maxTokenLifetimeDays ke masa pakai token maksimum token baru dalam beberapa hari, sebagai bilangan bulat. Jika Anda menetapkannya ke nol, token baru diizinkan untuk tidak memiliki batas masa pakai. Contohnya:

Databricks CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

API konfigurasi ruang kerja

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Untuk menggunakan penyedia Databricks Terraform untuk mengelola masa pakai maksimum untuk token baru di ruang kerja, lihat sumber daya databricks_workspace_conf.

Memantau dan mencabut token

Bagian ini menjelaskan cara menggunakan Databricks CLI untuk mengelola token yang ada di ruang kerja. Anda juga dapat menggunakan API Manajemen Token.

Dapatkan token untuk ruang kerja

Untuk mendapatkan token ruang kerja:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Menghapus (mencabut) token

Untuk menghapus token, ganti TOKEN_ID dengan id token yang akan dihapus:

databricks token-management delete TOKEN_ID

Pencabutan token akses lama secara otomatis

Databricks akan secara otomatis mencabut PAT untuk ruang kerja Azure Databricks Anda saat token belum digunakan dalam 90 hari atau lebih. Sebagai praktik terbaik, audit PAT secara teratur di akun Azure Databricks Anda dan hapus yang tidak digunakan sebelum dicabut secara otomatis. Impor dan jalankan buku catatan yang disediakan dalam menilai penggunaan token akses pribadi di akun Databricks Anda untuk menentukan jumlah PAT yang tidak kedaluwarsa di akun Azure Databricks organisasi Anda.

Databricks merekomendasikan agar Anda mengonfigurasi akun Azure Databricks organisasi Anda untuk menggunakan token OAuth untuk autentikasi akses alih-alih PATs untuk keamanan dan kemudahan penggunaan yang lebih besar.