Condividi tramite

Monitorare e revocare i token di accesso personale

  • Articolo

Per eseguire l'autenticazione all'API REST di Azure Databricks, un utente può creare un token di accesso personale e usarlo nella richiesta dell'API REST. Un utente può anche creare un'entità servizio e usarla con un token di accesso personale per chiamare le API REST di Azure Databricks negli strumenti e nell'automazione CI/CD. Questo articolo illustra in che modo gli amministratori di Azure Databricks possono gestire i token di accesso personali nell'area di lavoro. Per i token di accesso personale, consultare Eseguire l'autenticazione con token di accesso personale di Azure Databricks.

Usare OAuth invece di token di accesso personale

Databricks consiglia di usare i token di accesso OAuth anziché i token di accesso personali per una maggiore sicurezza e praticità. Databricks continua a supportare le api pat, ma a causa del rischio di sicurezza maggiore, è consigliabile controllare l'utilizzo corrente del pat dell'account ed eseguire la migrazione degli utenti e delle entità servizio ai token di accesso OAuth. Per creare un token di accesso OAuth (anziché un token di accesso personale) da usare con un'entità servizio in automazione, consultare Autenticare l'accesso ad Azure Databricks con un'entità servizio usando OAuth (OAuth M2M).

Databricks consiglia di ridurre al minimo l'esposizione dei token di accesso personale con la procedura seguente:

  1. Impostare una durata breve per tutti i nuovi token creati nelle aree di lavoro. La durata deve essere inferiore a 90 giorni.
  2. Collaborare con gli amministratori e gli utenti dell'area di lavoro di Azure Databricks per passare a tali token con durate più brevi.
  3. Revocare tutti i token di lunga durata per ridurre il rischio che questi token meno recenti vengano usati in modo improprio nel tempo. Databricks revoca automaticamente i token di accesso personali che non sono stati usati in 90 o più giorni.

Per valutare l'utilizzo delle reti PAT dell'organizzazione e pianificare una migrazione a token di accesso OAuth, consultare Valutare l'utilizzo dei token di accesso personale nell'account Databricks.

Requisiti

  • È necessario essere un amministratore dell'area di lavoro di Azure Databricks per disabilitare i token di accesso personale per un'area di lavoro, monitorare e revocare i token, controllare quali utenti non amministratori possono creare token e usare i token e impostare una durata massima per i nuovi token.
  • Per l'area di lavoro di Azure Databricks deve essere stato selezionato il piano Premium.

Abilitare o disabilitare l'autenticazione basata su token per l'area di lavoro

L'autenticazione basata su token viene abilitata per impostazione predefinita per tutte le aree di lavoro di Azure Databricks create a partire dal 2018. È possibile modificare questa impostazione nella pagina delle impostazioni dell'area di lavoro.

Quando i token di accesso personali sono disabilitati per un'area di lavoro, non è possibile usare i token di accesso personale per l'autenticazione ad Azure Databricks e gli utenti dell'area di lavoro e le entità servizio non possono creare nuovi token. Quando si disabilita l'autenticazione del token di accesso personale per un'area di lavoro non viene eliminato alcun token. Se i token vengono riabilitati in un secondo momento, sono disponibili se non scaduti.

Se si vuole disabilitare l'accesso ai token per un subset di utenti, è possibile mantenere abilitata l'autenticazione del token di accesso personale per l'area di lavoro e impostare autorizzazioni con granularità fine per utenti e gruppi. Vedere Controllare chi può creare e usare token di accesso personali.

Avviso

Partner Connect e le integrazioni partner richiedono l'abilitazione dei token di accesso personale in un'area di lavoro.

Per disabilitare la possibilità di creare e usare token di accesso personale per l'area di lavoro:

  1. Andare alla pagina Impostazioni.

  2. Fare clic sulla scheda Avanzate.

  3. Fare clic sull'interruttore Token di accesso personale.

  4. Cliccare Conferma.

    L'applicazione di questa modifica può richiedere alcuni secondi.

È anche possibile usare l’API di configurazione dell'area di lavoro per disabilitare i token di accesso personale per l'area di lavoro.

Controllare chi può creare e usare token di accesso personali

Gli amministratori dell'area di lavoro possono impostare le autorizzazioni sui token di accesso personale per controllare quali utenti, entità servizio e gruppi possono creare e usare i token. Per informazioni dettagliate su come configurare le autorizzazioni del token di accesso personale, consultare Gestire le autorizzazioni del token di accesso personale.

Impostare la durata massima dei nuovi token di accesso personale

È possibile gestire la durata massima dei nuovi token nell'area di lavoro usando il Databricks CLI o l’API di configurazione dell'area di lavoro. Questo limite si applica solo ai nuovi token.

Nota

Databricks revoca automaticamente i token di accesso personali inutilizzati per 90 o più giorni. Databricks non revoca i token con durate superiori a 90 giorni, purché i token vengano usati attivamente.

Come procedura consigliata per la sicurezza, Databricks consiglia l'uso di token OAuth sui token PAT. Se si sta eseguendo la transizione dell'autenticazione da PTP a OAuth, Databricks consiglia di usare token di breve durata per una maggiore sicurezza.

Impostare maxTokenLifetimeDays sul valore della durata massima del token per i nuovi token in giorni, come numero intero. Se lo si imposta a zero, ai nuovi token è consentito non avere limiti di durata. Ad esempio:

Databricks CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Workspace Configuration API

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Per usare il provider Databricks Terraform per gestire la durata massima per i nuovi token in un'area di lavoro, consultare databricks_workspace_conf Risorsa.

Monitorare e revocare i token

Questa sezione descrive come usare il Databricks CLI per gestire i token esistenti nell'area di lavoro. È anche possibile usare l’API Token Management. Databricks revoca automaticamente i token di accesso personali che non sono stati usati in 90 o più giorni.

Ottenere i token per l'area di lavoro

Per ottenere i token dell'area di lavoro:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Eliminare (revocare) un token

Per eliminare un token, sostituire TOKEN_ID con l'ID del token da eliminare:

databricks token-management delete TOKEN_ID