分享方式:

監視和管理個人存取令牌

  • 文章

若要向 Azure Databricks REST API 進行驗證,使用者可以建立個人存取令牌,並將其用於其 REST API 要求中。 本文說明工作區系統管理員如何管理其工作區中的個人存取令牌。

若要建立個人存取令牌,請參閱 Azure Databricks 個人存取令牌驗證

個人存取令牌管理概觀

根據預設,所有在 2018 或更新版本中建立的 Azure Databricks 工作區都會啟用個人存取令牌。

在工作區上啟用個人存取令牌時,具有 CAN USE 許可權的使用者可以產生個人存取令牌來存取 Azure Databricks REST API,而且可以使用他們喜歡的任何到期日產生這些令牌,包括無限期存留期。 根據預設,沒有非系統管理員工作區使用者具有 CAN USE 許可權,這表示他們無法建立或使用個人存取令牌。

身為 Azure Databricks 工作區管理員,您可以 停用工作區的個人存取權杖、 監視和撤銷權杖、 控制哪些非系統管理員使用者可以建立權杖和使用權杖,以及 設定新權杖的最大存留期。

管理工作區中的個人存取令牌需要 進階版 方案。 若要建立個人存取令牌,請參閱 Azure Databricks 個人存取令牌驗證

啟用或停用工作區的個人存取令牌驗證

默認會針對在 2018 或更新版本中建立的所有 Azure Databricks 工作區啟用個人存取令牌驗證。 您可以在工作區設定頁面中變更此設定。

停用工作區的個人存取令牌時,無法使用個人存取令牌向 Azure Databricks 進行驗證,而工作區使用者和服務主體無法建立新的令牌。 當您停用工作區的個人存取令牌驗證時,不會刪除任何令牌。 如果稍後重新啟用令牌,則任何未過期的令牌都可供使用。

如果您想要停用使用者子集的令牌存取,您可以保留針對工作區啟用的個人存取令牌驗證,併為使用者和群組設定更細緻的許可權。 請參閱 控制誰可以建立和使用令牌

警告

合作夥伴 連線合作夥伴整合需要在工作區上啟用個人存取令牌。

若要停用為工作區建立和使用個人存取令牌的能力:

  1. 移至 [ 設定] 頁面

  2. 按一下 [進階] 索引標籤。

  3. 按兩下 [ 個人存取令牌 ] 切換。

  4. 按一下 [確認]

    這項變更可能需要幾秒鐘的時間才會生效。

您也可以使用工作區設定 API 來停用工作區的個人存取令牌。

控制誰可以建立和使用令牌

工作區管理員可以設定個人存取令牌的許可權,以控制哪些用戶、服務主體和群組可以建立和使用令牌。 如需如何設定個人存取令牌許可權的詳細資訊,請參閱 管理 Azure Databricks 自動化的存取權。

設定新令牌的最大存留期

您可以使用 Databricks CLI 管理工作區中新令牌的最大存留期。 此限制僅適用於新的令牌。

將 設定 maxTokenLifetimeDays 為新令牌在天數內的最大令牌存留期,以整數表示。 如果您將它設定為零,則允許新的令牌沒有存留期限制。 例如:

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

您也可以使用工作區設定 API 來管理工作區中新令牌的最大存留期。

監視和撤銷令牌

本節說明如何使用 Databricks CLI 來管理工作區中的現有令牌。 您也可以使用 令牌管理 API

取得工作區的令牌

若要取得工作區的令牌:

databricks token-management list

您可以使用旗標 created-by-id 來篩選使用者的結果(依使用者識別元篩選)或 created-by-username (依使用者名稱篩選)。

例如:

databricks token-management list --created-by-username user@company.com

範例回應:

ID  Created By  Comment
token-id  user@company.com dev

刪除 (撤銷) 令牌

若要刪除權杖,請將TOKEN_ID取代為要刪除的權杖識別碼:

databricks token-management delete TOKEN_ID