Udostępnij za pośrednictwem

Monitorowanie dostępu osobistego tokenów dostępu i zarządzanie nim

  • Artykuł

Aby uwierzytelnić się w interfejsie API REST usługi Azure Databricks, użytkownik może utworzyć osobisty token dostępu i użyć go w żądaniu interfejsu API REST. Użytkownik może również utworzyć jednostkę usługi i używać jej z osobistym tokenem dostępu w celu wywołania interfejsów API REST usługi Azure Databricks w swoich narzędziach ciągłej integracji/ciągłego wdrażania i automatyzacji. W tym artykule wyjaśniono, jak administratorzy obszaru roboczego usługi Azure Databricks mogą zarządzać tymi tokenami dostępu w obszarze roboczym.

Aby utworzyć token dostępu OAuth (zamiast pat) do użycia z jednostką usługi w automatyzacji, zobacz Uwierzytelnianie dostępu do usługi Azure Databricks przy użyciu jednostki usługi przy użyciu protokołu OAuth (OAuth M2M).

Używanie osobistych tokenów dostępu (PATs) zamiast protokołu OAuth w celu uzyskania dostępu do usługi Azure Databricks

Usługa Databricks zaleca używanie tokenów dostępu OAuth zamiast paT w celu zwiększenia bezpieczeństwa i wygody. Usługa Databricks nadal obsługuje usługi PAT, ale ze względu na większe ryzyko bezpieczeństwa sugeruje, że przeprowadzasz inspekcję bieżącego użycia tokenu PAT dla kont i migrujesz użytkowników i jednostki usługi do tokenów dostępu OAuth.

Omówienie zarządzania osobistym tokenem dostępu

Uwaga

W poniższej dokumentacji opisano użycie paT dla klientów, którzy jeszcze nie zmigrowali swojego kodu do używania protokołu OAuth. Aby ocenić użycie sieci PAT w organizacji i zaplanować migrację z tokenów dostępu OAuth do tokenów dostępu OAuth, zobacz Ocena użycia osobistego tokenu dostępu na koncie usługi Databricks.

Osobiste tokeny dostępu są domyślnie włączone dla wszystkich obszarów roboczych usługi Azure Databricks utworzonych w 2018 lub nowszych wersjach.

Gdy osobiste tokeny dostępu są włączone w obszarze roboczym, użytkownicy z uprawnieniem CAN USE mogą generować osobiste tokeny dostępu w celu uzyskania dostępu do interfejsów API REST usługi Azure Databricks i mogą wygenerować te tokeny z dowolną datą wygaśnięcia, w tym nieokreślonym okresem istnienia. Domyślnie żaden użytkownik niebędący administratorem obszaru roboczego nie ma uprawnienia CAN USE, co oznacza, że nie może tworzyć ani używać osobistych tokenów dostępu.

Jako administrator obszaru roboczego usługi Azure Databricks możesz wyłączyć osobiste tokeny dostępu dla obszaru roboczego, monitorować i odwoływać tokeny, kontrolować, którzy użytkownicy niebędący administratorami mogą tworzyć tokeny i używać tokenów, a także ustawiać maksymalny okres istnienia nowych tokenów.

Zarządzanie osobistymi tokenami dostępu w obszarze roboczym wymaga planu Premium. Aby utworzyć osobisty token dostępu, zobacz Uwierzytelnianie osobistego tokenu dostępu usługi Azure Databricks.

Włączanie lub wyłączanie uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego

Uwierzytelnianie osobistego tokenu dostępu jest domyślnie włączone dla wszystkich obszarów roboczych usługi Azure Databricks utworzonych w 2018 lub nowszych wersjach. To ustawienie można zmienić na stronie ustawień obszaru roboczego.

Jeśli osobiste tokeny dostępu są wyłączone dla obszaru roboczego, osobiste tokeny dostępu nie mogą być używane do uwierzytelniania w usłudze Azure Databricks, a użytkownicy obszaru roboczego i jednostki usługi nie mogą tworzyć nowych tokenów. Podczas wyłączania uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego nie są usuwane żadne tokeny. Jeśli tokeny zostaną ponownie włączone później, wszystkie tokeny, które nie wygasły, będą dostępne do użycia.

Jeśli chcesz wyłączyć dostęp do tokenu dla podzbioru użytkowników, możesz zachować włączenie uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego i ustawić szczegółowe uprawnienia dla użytkowników i grup. Zobacz Kontrolowanie, kto może tworzyć tokeny i używać ich.

Ostrzeżenie

Program Partner Connect i integracje partnerów wymagają włączenia osobistych tokenów dostępu w obszarze roboczym.

Aby wyłączyć możliwość tworzenia i używania osobistych tokenów dostępu dla obszaru roboczego:

  1. Przejdź do strony ustawień.

  2. Kliknij kartę Zaawansowane.

  3. Kliknij przełącznik Osobiste tokeny dostępu.

  4. Kliknij przycisk Potwierdź.

    Ta zmiana może potrwać kilka sekund.

Możesz również użyć interfejsu API konfiguracji obszaru roboczego, aby wyłączyć osobiste tokeny dostępu dla obszaru roboczego.

Kontrolowanie, kto może tworzyć tokeny i używać ich

Administratorzy obszaru roboczego mogą ustawić uprawnienia do osobistych tokenów dostępu, aby kontrolować, którzy użytkownicy, jednostki usługi i grupy mogą tworzyć tokeny i używać ich. Aby uzyskać szczegółowe informacje na temat konfigurowania osobistych uprawnień tokenu dostępu, zobacz Zarządzanie uprawnieniami osobistego tokenu dostępu.

Ustawianie maksymalnego okresu istnienia nowych tokenów

Możesz zarządzać maksymalnym okresem istnienia nowych tokenów w obszarze roboczym przy użyciu interfejsu wiersza polecenia usługi Databricks lub interfejsu API konfiguracji obszaru roboczego. Ten limit dotyczy tylko nowych tokenów.

Usługa Databricks automatycznie odwołuje tokeny dostępu, które zostały nieużywane przez 90 lub więcej dni. Ze względu na te zasady ustaw okres istnienia tokenu na 90 dni lub mniej.

Ustaw maxTokenLifetimeDays wartość maksymalnego okresu istnienia tokenu nowych tokenów w dniach jako liczba całkowita. Jeśli ustawisz ją na zero, nowe tokeny mogą nie mieć limitu okresu istnienia. Na przykład:

Interfejs wiersza polecenia usługi Databricks

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Interfejs API konfiguracji obszaru roboczego

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Aby użyć dostawcy narzędzia Terraform usługi Databricks do zarządzania maksymalnym okresem istnienia nowych tokenów w obszarze roboczym, zobacz databricks_workspace_conf Zasób.

Monitorowanie i odwoływanie tokenów

W tej sekcji opisano sposób używania interfejsu wiersza polecenia usługi Databricks do zarządzania istniejącymi tokenami w obszarze roboczym. Możesz również użyć interfejsu API zarządzania tokenami.

Pobieranie tokenów dla obszaru roboczego

Aby uzyskać tokeny obszaru roboczego:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Usuwanie (odwoływanie) tokenu

Aby usunąć token, zastąp TOKEN_ID identyfikatorem tokenu, który chcesz usunąć:

databricks token-management delete TOKEN_ID

Automatyczne odwoływanie starych tokenów dostępu

Usługa Databricks automatycznie odwołuje usługi PATs dla obszarów roboczych usługi Azure Databricks, gdy token nie został użyty w ciągu 90 lub więcej dni. Najlepszym rozwiązaniem jest regularne przeprowadzanie inspekcji paT na koncie usługi Azure Databricks i usuwanie wszystkich nieużywanych przed ich automatycznym odwołaniem. Zaimportuj i uruchom notes podany w sekcji Ocena użycia osobistego tokenu dostępu na koncie usługi Databricks, aby określić liczbę nieoświetzonych numerów DOSTAWCY na koncie usługi Azure Databricks w organizacji.

Usługa Databricks zaleca skonfigurowanie konta usługi Azure Databricks organizacji pod kątem używania tokenów OAuth na potrzeby uwierzytelniania dostępu zamiast paT w celu zapewnienia większego bezpieczeństwa i łatwości użycia.