Мониторинг и управление личными маркерами доступа
Чтобы проверить подлинность REST API Azure Databricks, пользователь может создать личный маркер доступа и использовать его в запросе REST API. В этой статье объясняется, как администраторы рабочих областей могут управлять личными маркерами доступа в своей рабочей области.
Чтобы создать личный маркер доступа, ознакомьтесь с проверкой подлинности личного маркера доступа Azure Databricks.
Общие сведения об управлении личными маркерами доступа
Личные маркеры доступа включены по умолчанию для всех рабочих областей Azure Databricks, созданных в 2018 году или более поздней версии.
Если личные маркеры доступа включены в рабочей области, пользователи с разрешением CAN USE могут создавать личные маркеры доступа для доступа к REST API Azure Databricks, и они могут создавать эти маркеры с любой датой окончания срока действия, в том числе неограниченное время существования. По умолчанию у пользователей рабочей области, не являющихся администраторами, есть разрешение CAN USE, что означает, что они не могут создавать или использовать личные маркеры доступа.
Администратор рабочей области Azure Databricks может отключать личные маркеры доступа для рабочей области, отслеживать и отзывать маркеры, контролировать, какие пользователи без прав администратора могут создавать маркеры и использовать их, а также устанавливать максимальный срок существования новых маркеров.
Для управления личными маркерами доступа в рабочей области требуется план Premium. Чтобы создать личный маркер доступа, ознакомьтесь с проверкой подлинности личного маркера доступа Azure Databricks.
Включение или отключение проверки подлинности личного маркера доступа для рабочей области
Проверка подлинности маркера личного доступа включена по умолчанию для всех рабочих областей Azure Databricks, созданных в 2018 году или более поздней версии. Этот параметр можно изменить на странице параметров рабочей области.
Если личные маркеры доступа отключены для рабочей области, личные маркеры доступа нельзя использовать для проверки подлинности в Azure Databricks и пользователей рабочей области и субъектов-служб не могут создавать новые маркеры. Маркеры не удаляются при отключении проверки подлинности личного маркера доступа для рабочей области. Если маркеры снова включены позже, все маркеры, не истекшие срок действия, доступны для использования.
Если вы хотите отключить доступ к маркерам для подмножества пользователей, вы можете сохранить проверку подлинности маркера личного доступа для рабочей области и задать подробные разрешения для пользователей и групп. См. раздел "Управление тем, кто может создавать и использовать маркеры".
Предупреждение
Для интеграции с партнерами Подключение и партнеров требуется включить личные маркеры доступа в рабочей области.
Чтобы отключить возможность создания и использования личных маркеров доступа для рабочей области:
Перейдите на вкладку Дополнительно.
Щелкните переключатель Личные маркеры доступа.
Нажмите кнопку Подтвердить.
Для вступления в силу этого изменения может потребоваться несколько секунд.
Вы также можете использовать API конфигурации рабочей области, чтобы отключить личные маркеры доступа для рабочей области.
Управление тем, кто может создавать и использовать маркеры
Администраторы рабочей области могут задавать разрешения на личные маркеры доступа, чтобы управлять тем, какие пользователи, субъекты-службы и группы могут создавать и использовать маркеры. Дополнительные сведения о настройке разрешений маркера личного доступа см. в статье "Управление доступом к службе автоматизации Azure Databricks".
Установка максимального времени существования новых маркеров
Вы можете управлять максимальным временем существования новых маркеров в рабочей области с помощью интерфейса командной строки Databricks. Это ограничение применяется только к новым маркерам.
Задайте для параметра maxTokenLifetimeDays максимальный срок действия для новых маркеров (в днях) в виде целого числа. Если установить нулевое значение, то для новых маркеров будет устанавливаться неограниченный срок действия. Например:
databricks workspace-conf set-status --json '{
"maxTokenLifetimeDays": "90"
}'
Api конфигурации рабочей области также можно использовать для управления максимальным временем существования новых маркеров в рабочей области.
Мониторинг и отзыв маркеров
В этом разделе описывается, как использовать интерфейс командной строки Databricks для управления существующими токенами в рабочей области. Вы также можете использовать API управления маркерами.
Получение маркеров для рабочей области
Чтобы получить маркеры рабочей области, выполните следующие действия.
databricks token-management list
Результаты можно фильтровать пользователем с помощью флагов created-by-id (для фильтрации по идентификатору пользователя) или created-by-username (для фильтрации по имени пользователя).
Например:
databricks token-management list --created-by-username user@company.com
Пример ответа:
ID Created By Comment
token-id user@company.com dev
Удаление (отзыв) маркера
Чтобы удалить маркер, замените TOKEN_ID идентификатором маркера для удаления:
databricks token-management delete TOKEN_ID
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по