다음을 통해 공유

개인 액세스 토큰 모니터링 및 해지

  • 아티클

Azure Databricks REST API에 인증하기 위해 사용자는 PAT(개인 액세스 토큰)를 만들고 REST API 요청에 사용할 수 있습니다. 또한 사용자는 서비스 주체를 만들고 개인 액세스 토큰과 함께 사용하여 CI/CD 도구 및 자동화에서 Azure Databricks REST API를 호출할 수 있습니다. 이 문서에서는 Azure Databricks 관리자가 작업 영역에서 개인 액세스 토큰을 관리하는 방법을 설명합니다. 개인용 액세스 토큰을 만들려면 Azure Databricks 개인용 액세스 토큰 인증을 참조하세요.

개인용 액세스 토큰 대신 OAuth 사용

Databricks에서는 보안 및 편의성을 높이기 위해 PAT 대신 OAuth 액세스 토큰을 사용하는 것이 좋습니다. Databricks는 계속해서 PAT를 지원하지만 더 큰 보안 위험으로 인해 계정의 현재 PAT 사용을 감사하고 사용자 및 서비스 주체를 OAuth 액세스 토큰으로 마이그레이션하는 것이 좋습니다. 자동화에서 서비스 주체와 함께 사용할 OAuth 액세스 토큰(PAT 대신)을 만들려면 OAuth(OAuth M2M)를 사용하여 서비스 주체로 Azure Databricks에 대한 액세스 인증을 참조하세요.

Databricks는 다음 단계를 사용하여 개인 액세스 토큰 노출을 최소화하는 것이 좋습니다.

  1. 작업 영역에서 만든 모든 새 토큰에 대해 짧은 수명을 설정합니다. 수명은 90일 미만이어야 합니다.
  2. Azure Databricks 작업 영역 관리자 및 사용자와 협력하여 수명이 짧은 토큰으로 전환합니다.
  3. 이러한 오래된 토큰이 시간이 지남에 따라 잘못 사용될 위험을 줄이기 위해 수명이 긴 모든 토큰을 해지합니다. Databricks는 90일 이상 사용되지 않은 개인용 액세스 토큰을 자동으로 해지합니다.

자체 조직의 PAT 사용량을 평가하고 PAT에서 OAuth 액세스 토큰으로의 마이그레이션을 계획하려면 Databricks 계정에서 개인용 액세스 토큰 사용량 평가를 참조하세요.

요구 사항

  • 작업 영역에 대한 개인 액세스 토큰을 사용하지 않도록 설정하고, 토큰을 모니터링 및 해지하고, 관리자가 아닌 사용자가 토큰을 만들고 토큰을 사용할 수 있는 사용자를 제어하고, 새 토큰의 최대 수명을 설정하려면 Azure Databricks 작업 영역 관리자여야 합니다.
  • Azure Databricks 작업 영역은 프리미엄 플랜에 있어야 합니다.

작업 영역에 대한 개인용 액세스 토큰 인증 사용 또는 사용 안 함

개인용 액세스 토큰 인증은 2018년 이후에 만들어진 모든 Azure Databricks 작업 영역에서 기본적으로 사용하도록 설정됩니다. 작업 영역 설정 페이지에서 이 설정을 변경할 수 있습니다.

작업 영역에 개인용 액세스 토큰을 사용하지 않도록 설정한 경우 개인용 액세스 토큰을 사용하여 Azure Databricks에 인증할 수 없으며 작업 영역 사용자 및 서비스 주체는 새 토큰을 만들 수 없습니다. 작업 영역에 대한 개인용 액세스 토큰 인증을 사용하지 않도록 설정하면 토큰이 삭제되지 않습니다. 나중에 토큰을 다시 사용하도록 설정하면 만료되지 않은 토큰을 사용할 수 있습니다.

일부 사용자에 대해 토큰 액세스를 사용하지 않도록 설정하려는 경우 작업 영역에 대해 개인용 액세스 토큰 인증을 사용하도록 설정한 상태로 유지하고 사용자 및 그룹에 대해 세분화된 권한을 설정할 수 있습니다. 개인용 액세스 토큰을 만들고 사용할 수 있는 사용자 제어를 참조 하세요.

Warning

파트너 연결파트너 통합을 사용하려면 작업 영역에서 개인용 액세스 토큰을 사용하도록 설정해야 합니다.

작업 영역에 대한 개인용 액세스 토큰을 만들고 사용하는 기능을 사용하지 않도록 설정하려면 다음을 수행합니다.

  1. 설정 페이지로 이동합니다.

  2. 고급 탭을 클릭합니다.

  3. 개인용 액세스 토큰 토글을 클릭합니다.

  4. 확인을 클릭합니다.

    이 변경 내용이 적용되는 데 몇 초 정도 걸릴 수 있습니다.

작업 영역 구성 API를 사용하여 작업 영역에 대한 개인용 액세스 토큰을 사용하지 않도록 설정할 수도 있습니다.

개인 액세스 토큰을 만들고 사용할 수 있는 사용자 제어

작업 영역 관리자는 개인 액세스 토큰에 대한 권한을 설정하여 토큰을 만들고 사용할 수 있는 사용자, 서비스 주체, 그룹을 제어할 수 있습니다. 개인용 액세스 토큰 권한을 구성하는 방법에 대한 자세한 내용은 개인용 액세스 토큰 권한 관리를 참조하세요.

새 개인 액세스 토큰의 최대 수명 설정

Databricks CLI 또는 작업 영역 구성 API를 사용하여 작업 영역에서 새 토큰의 최대 수명을 관리할 수 있습니다. 이 제한은 새 토큰에만 적용됩니다.

참고 항목

Databricks는 90일 이상 사용되지 않은 개인용 액세스 토큰을 자동으로 해지합니다. Databricks는 토큰이 적극적으로 사용되는 한 수명이 90일을 초과하는 토큰을 해지하지 않습니다.

보안 모범 사례로 Databricks는 PAT를 통해 OAuth 토큰을 사용하는 것이 좋습니다. 인증을 PAT에서 OAuth로 전환하는 경우 Databricks는 더 강력한 보안을 위해 수명이 짧은 토큰을 사용하는 것이 좋습니다.

maxTokenLifetimeDays를 정수인 새 토큰의 최대 토큰 수명(일)으로 설정합니다. 0으로 설정하면 새 토큰에 수명 제한이 없도록 허용됩니다. 예시:

Databricks CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

작업 영역 구성 API

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Databricks Terraform 공급자를 사용하여 작업 영역에서 새 토큰의 최대 수명을 관리하려면 databricks_workspace_conf 리소스를 참조하세요.

토큰 모니터링 및 해지

이 섹션에서는 Databricks CLI를 사용하여 작업 영역의 기존 토큰을 관리하는 방법을 설명합니다. 토큰 관리 API를 사용할 수도 있습니다. Databricks는 90일 이상 사용되지 않은 개인용 액세스 토큰을 자동으로 해지합니다.

작업 영역에 대한 토큰 가져오기

작업 영역의 토큰을 가져오려면 다음을 수행합니다.

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

토큰 삭제(철회)

토큰을 삭제하려면 TOKEN_ID를 삭제할 토큰의 ID로 바꿉니다.

databricks token-management delete TOKEN_ID