Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kullanıcı, Azure Databricks REST API'sinde kimlik doğrulaması yapmak için kişisel erişim belirteci (PAT) oluşturabilir ve rest API isteğinde kullanabilir. Kullanıcı ayrıca bir hizmet sorumlusu oluşturabilir ve bunu kişisel erişim belirteci ile kullanarak CI/CD araçları ve otomasyonunda Azure Databricks REST API'lerini çağırabilir. Bu makalede, Azure Databricks yöneticilerinin çalışma alanlarındaki kişisel erişim belirteçlerini nasıl yönetebileceği açıklanmaktadır. Kişisel erişim belirteci oluşturmak için bkz. Azure Databricks kişisel erişim belirteçleri (eski) ile kimlik doğrulaması.
Kişisel erişim belirteçleri yerine OAuth kullanma
Databricks, daha fazla güvenlik ve kolaylık sağlamak için PAT'ler yerine OAuth erişim belirteçleri kullanmanızı önerir. Databricks, PTS'leri desteklemeye devam eder, ancak daha büyük güvenlik riski nedeniyle hesabınızın geçerli PAT kullanımını denetlemeniz ve kullanıcılarınızı ve hizmet sorumlularınızı OAuth erişim belirteçlerine geçirmeniz önerilir. Otomasyonda hizmet sorumlusuyla kullanılacak bir OAuth erişim belirteci (PAT yerine) oluşturmak için bkz. OAuth ile Azure Databricks'e hizmet sorumlusu erişimi yetkilendirme.
Databricks, aşağıdaki adımlarla kişisel erişim belirtecinizin açığa çıkarma durumunu en aza indirmenizi önerir:
- Çalışma alanlarınızda oluşturulan tüm yeni belirteçler için kısa bir yaşam süresi ayarlayın. Yaşam süresi 90 günden az olmalıdır. Varsayılan olarak, tüm yeni belirteçler için maksimum yaşam süresi 730 gündür (iki yıl).
- Azure Databricks çalışma alanı yöneticileriniz ve kullanıcılarınızla birlikte çalışarak daha kısa ömürleri olan bu belirteçlere geçin.
- Bu eski belirteçlerin zaman içinde kötüye kullanılma riskini azaltmak için tüm uzun süreli belirteçleri iptal edin. Databricks, bir belirteç 90 gün veya daha uzun süre kullanılmadığında Azure Databricks çalışma alanlarınız için tüm PAT'leri otomatik olarak iptal eder.
Gereksinimler
Kişisel erişim belirteçlerini yönetmek için yönetici olmanız gerekir.
Azure Databricks hesap yöneticileri, hesap genelindeki kişisel erişim belirteçlerini izleyebilir ve iptal edebilir.
Azure Databricks çalışma alanı yöneticileri aşağıdakileri yapabilir:
- Çalışma alanı için kişisel erişim belirteçlerini devre dışı bırakın.
- Hangi yönetici olmayan kullanıcıların belirteç oluşturabileceğini ve belirteçleri kullanabileceğini denetleme.
- Yeni belirteçler için maksimum yaşam süresi ayarlayın.
- Çalışma alanlarındaki belirteçleri izleyin ve geri çekin.
Çalışma alanınızdaki kişisel erişim belirteçlerini yönetmek için Premium planınasahip olmanız gerekir.
Hesaptaki kişisel erişim belirteçlerini izleme ve iptal etme
Hesap yöneticileri, hesap konsolundan kişisel erişim belirteçlerini izleyebilir ve iptal edebilir. Belirteçleri izlemek için yapılan sorgular yalnızca hesap yöneticisi belirteç raporu sayfasını kullandığında çalıştırılır.
Hesap yöneticisi olarak
hesap konsolunda oturum açın. Kenar çubuğunda Güvenlik ve Belirteç raporu'na tıklayın.
Belirtecin sahibine, çalışma alanına, oluşturulma tarihine, son kullanma tarihine ve belirtecin son kullanıldığı tarihe göre filtreleyebilirsiniz. Etkin olmayan sorumluların erişim belirteçlerini veya son kullanma tarihi olmayan erişim belirteçlerini filtrelemek için raporun üst kısmındaki düğmeleri kullanın.
Raporu CSV'ye aktarmak için Dışarı Aktaröğesine tıklayın.
Belirteci iptal etmek için bir belirteç seçin ve İptal etseçeneğine tıklayın.
Çalışma alanı için kişisel erişim belirteci kimlik doğrulamasını etkinleştirme veya devre dışı bırakma
Kişisel erişim belirteci kimlik doğrulaması, 2018 veya sonraki sürümlerde oluşturulan tüm Azure Databricks çalışma alanları için varsayılan olarak etkindir. Bu ayarı çalışma alanı ayarları sayfasından değiştirebilirsiniz.
Bir çalışma alanı için kişisel erişim belirteçleri devre dışı bırakıldığında, Azure Databricks'de kimlik doğrulaması yapmak için kişisel erişim belirteçleri kullanılamaz ve çalışma alanı kullanıcıları ve hizmet sorumluları yeni belirteçler oluşturamaz. Çalışma alanı için kişisel erişim belirteci kimlik doğrulamasını devre dışı bırakdığınızda hiçbir belirteç silinmez. Belirteçler daha sonra yeniden etkinleştirilirse süresi dolmamış tüm belirteçler kullanılabilir.
Kullanıcıların bir alt kümesi için belirteç erişimini devre dışı bırakmak istiyorsanız, çalışma alanı için kişisel erişim belirteci kimlik doğrulamasını etkinleştirebilir ve kullanıcılar ve gruplar için ayrıntılı izinler ayarlayabilirsiniz. Bkz Kişisel erişim belirteçlerini kimlerin oluşturabileceğini ve kullanabileceğini denetleme.
Uyarı
İş Ortağı Bağlantısı ve iş ortağı tümleştirmeleri , bir çalışma alanında kişisel erişim belirteçlerinin etkinleştirilmesini gerektirir.
Çalışma alanı için kişisel erişim belirteçleri oluşturma ve kullanma özelliğini devre dışı bırakmak için:
Ayarlar sayfasına gidin.
Gelişmiş sekmesi'ne tıklayın.
Kişisel Erişim Belirteçleri anahtarına tıklayın.
Onayla'yı tıklatın.
Bu değişikliğin etkili olması birkaç saniye sürebilir.
Çalışma alanı için kişisel erişim belirteçlerini devre dışı bırakmak için Çalışma Alanı yapılandırma API'sini de kullanabilirsiniz.
Kişisel erişim belirteçlerini kimlerin oluşturabileceğini ve kullanabileceğini denetleme
Çalışma alanı yöneticileri, hangi kullanıcıların, hizmet sorumlularının ve grupların belirteç oluşturup kullanabileceğini denetlemek için kişisel erişim belirteçlerinde izinler ayarlayabilir. Kişisel erişim belirteci izinlerini yapılandırma hakkında ayrıntılı bilgi için bkz . Kişisel erişim belirteci izinlerini yönetme.
Yeni kişisel erişim belirteçlerinin maksimum kullanım ömrünü ayarlama
Varsayılan olarak, yeni belirteçlerin maksimum ömrü 730 gündür (iki yıl). Databricks CLI veya Çalışma Alanı yapılandırma API'sini kullanarak çalışma alanınızda daha kısa bir maksimum belirteç ömrü ayarlayın. Bu sınır yalnızca yeni belirteçler için geçerlidir.
Yeni belirteçler için en uzun yaşam süresini (gün cinsinden) tamsayı olarak maxTokenLifetimeDays değerine ayarlayın. Örneğin:
Databricks Komut Satırı Arayüzü (CLI)
databricks workspace-conf set-status --json '{
"maxTokenLifetimeDays": "90"
}'
Çalışma alanı yapılandırma API'si
curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
-d '{
"maxTokenLifetimeDays": "90"
}'
Terraform
Databricks Terraform sağlayıcısını kullanarak çalışma alanında yeni belirteçlerin maksimum ömrünü yönetmek için bkz . kaynak databricks_workspace_conf.
maxTokenLifetimeDays'den "0"'e ayarlanması, özel ömür sınırını kaldırır ve 730 gün (iki yıl) olan sistem varsayılana döner. Önceden yapılandırılmış bir özel sınırı devre dışı bırakmak için bu ayarı kullanın.
Azure Databricks, kişisel erişim belirteçlerinin süresi dolmadan yaklaşık yedi gün önce çalışma alanı kullanıcılarına (hizmet sorumlularına değil) e-posta bildirimleri gönderir. Kullanıcıların bu bildirimleri alabilmesi için e-posta tabanlı kullanıcı adları olmalıdır. Azure Databricks, süresi dolan tüm belirteçleri aynı çalışma alanında tek bir e-postada birlikte gruplandırıyor.
Çalışma alanınızdaki belirteçleri izleme ve iptal etme
Bu bölümde, çalışma alanı yöneticilerinin çalışma alanında mevcut belirteçleri yönetmek için Databricks CLI nasıl kullanabileceği açıklanmaktadır. Belirteç Yönetimi API'sini de kullanabilirsiniz. Databricks, 90 veya daha fazla gün içinde kullanılmayan kişisel erişim belirteçlerini otomatik olarak iptal eder.
Çalışma alanı için belirteçleri alma
Çalışma alanının belirteçlerini almak için:
Piton
from databricks.sdk import WorkspaceClient
w = WorkspaceClient()
spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')
display(spark.sql('select * from tokens order by creation_time'))
Bash
# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list
Token'ı silme (iptal etme)
Belirteci silmek için TOKEN_ID silinecek belirtecin kimliğiyle değiştirin:
databricks token-management delete TOKEN_ID