Поделиться через

Мониторинг и управление доступом к личным маркерам доступа

  • Статья

Для проверки подлинности в REST API Azure Databricks пользователь может создать личный маркер доступа и использовать его в запросе REST API. Пользователь также может создать субъект-службу и использовать его с личным маркером acccess для вызова REST API Azure Databricks в средствах CI/CD и автоматизации. В этой статье объясняется, как администраторы рабочей области Azure Databricks могут управлять этими маркерами доступа в своей рабочей области.

Чтобы создать маркер доступа OAuth (вместо PAT) для использования с субъектом-службой в службе автоматизации, ознакомьтесь с проверкой подлинности доступа к Azure Databricks с субъектом-службой с помощью OAuth (OAuth M2M).

Использование личных маркеров доступа вместо OAuth для доступа к Azure Databricks

Databricks рекомендует использовать маркеры доступа OAuth вместо PATS для повышения безопасности и удобства. Databricks продолжает поддерживать PAT, но из-за их большего риска безопасности предполагается, что вы проверяете текущее использование PAT учетных записей и переносите пользователей и субъектов-служб в маркеры доступа OAuth.

Общие сведения об управлении личными маркерами доступа

Примечание.

В следующей документации рассматривается использование PAT для клиентов, которые еще не переносили свой код для использования OAuth. Чтобы оценить использование PAT собственной организации и запланировать миграцию с PATs на маркеры доступа OAuth, см. статью "Оценка использования личного маркера доступа" в учетной записи Databricks.

Личные маркеры доступа включены по умолчанию для всех рабочих областей Azure Databricks, созданных в 2018 году или более поздней версии.

Если личные маркеры доступа включены в рабочей области, пользователи с разрешением CAN USE могут создавать личные маркеры доступа для доступа к REST API Azure Databricks, и они могут создавать эти маркеры с любой датой окончания срока действия, в том числе неограниченное время существования. По умолчанию у пользователей рабочей области, не являющихся администраторами, есть разрешение CAN USE, что означает, что они не могут создавать или использовать личные маркеры доступа.

Администратор рабочей области Azure Databricks может отключать личные маркеры доступа для рабочей области, отслеживать и отзывать маркеры, контролировать, какие пользователи без прав администратора могут создавать маркеры и использовать их, а также устанавливать максимальный срок существования новых маркеров.

Для управления личными маркерами доступа в рабочей области требуется план Premium. Чтобы создать личный маркер доступа, ознакомьтесь с проверкой подлинности личного маркера доступа Azure Databricks.

Включение или отключение проверки подлинности личного маркера доступа для рабочей области

Проверка подлинности маркера личного доступа включена по умолчанию для всех рабочих областей Azure Databricks, созданных в 2018 году или более поздней версии. Этот параметр можно изменить на странице параметров рабочей области.

Если личные маркеры доступа отключены для рабочей области, личные маркеры доступа нельзя использовать для проверки подлинности в Azure Databricks и пользователей рабочей области и субъектов-служб не могут создавать новые маркеры. Маркеры не удаляются при отключении проверки подлинности личного маркера доступа для рабочей области. Если маркеры снова включены позже, все маркеры, не истекшие срок действия, доступны для использования.

Если вы хотите отключить доступ к маркерам для подмножества пользователей, вы можете сохранить проверку подлинности маркера личного доступа для рабочей области и задать подробные разрешения для пользователей и групп. См. раздел "Управление тем, кто может создавать и использовать маркеры".

Предупреждение

Для интеграции с партнером и партнерам требуется включить личные маркеры доступа в рабочей области.

Чтобы отключить возможность создания и использования личных маркеров доступа для рабочей области:

  1. Перейдите на страницу параметров.

  2. Перейдите на вкладку Дополнительно.

  3. Щелкните переключатель Личные маркеры доступа.

  4. Нажмите кнопку Подтвердить.

    Для вступления в силу этого изменения может потребоваться несколько секунд.

Вы также можете использовать API конфигурации рабочей области, чтобы отключить личные маркеры доступа для рабочей области.

Управление тем, кто может создавать и использовать маркеры

Администраторы рабочей области могут устанавливать разрешения на личные маркеры доступа, чтобы управлять тем, какие пользователи, субъекты-службы и группы могут создавать и использовать маркеры. Дополнительные сведения о настройке разрешений маркера личного доступа см. в статье "Управление разрешениями личного маркера доступа".

Установка максимального времени существования новых маркеров

Вы можете управлять максимальным временем существования новых маркеров в рабочей области с помощью интерфейса командной строки Databricks или API конфигурации рабочей области. Это ограничение применяется только к новым маркерам.

Примечание.

Databricks автоматически отменяет личные маркеры доступа, неиспользуемые в течение 90 или более дней. Databricks не отменяет маркеры со временем существования, превышающим 90 дней, пока маркеры активно используются.

В качестве рекомендации по обеспечению безопасности Databricks рекомендует использовать маркеры OAuth через PATs. При переходе проверки подлинности из PATs в OAuth Databricks рекомендует использовать короткие маркеры для более надежной безопасности.

Задайте для параметра maxTokenLifetimeDays максимальный срок действия для новых маркеров (в днях) в виде целого числа. Если установить нулевое значение, то для новых маркеров будет устанавливаться неограниченный срок действия. Например:

Интерфейс командной строки Databricks

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

API конфигурации рабочей области

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Сведения об использовании поставщика Databricks Terraform для управления максимальным временем существования новых маркеров в рабочей области см. в разделе databricks_workspace_conf Resource.

Мониторинг и отзыв маркеров

В этом разделе описывается, как использовать интерфейс командной строки Databricks для управления существующими токенами в рабочей области. Вы также можете использовать API управления маркерами.

Получение маркеров для рабочей области

Чтобы получить маркеры рабочей области, выполните следующие действия.

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Удаление (отзыв) маркера

Чтобы удалить маркер, замените TOKEN_ID идентификатором маркера для удаления:

databricks token-management delete TOKEN_ID

Автоматическая отмена старых маркеров доступа

Databricks автоматически отменяет paTs для рабочих областей Azure Databricks, если маркер не использовался в течение 90 или более дней. Рекомендуется регулярно проверять PAT в учетной записи Azure Databricks и удалять все неиспользуемые, прежде чем они автоматически отозваны. Импортируйте и запустите записную книжку, указанную в разделе "Оценка использования личного маркера доступа" в учетной записи Databricks, чтобы определить количество нераспределенных PATs в учетной записи Azure Databricks вашей организации.

Databricks рекомендует настроить учетную запись Azure Databricks вашей организации для использования маркеров OAuth для проверки подлинности доступа вместо PATS для повышения безопасности и удобства использования.