مشاركة عبر

مراقبة الرموز المميزة للوصول الشخصي وإبطالها

  • مقالة

للمصادقة على Azure Databricks REST API، يمكن للمستخدم إنشاء رمز وصول شخصي (PAT) واستخدامه في طلب REST API الخاص به. يمكن للمستخدم أيضا إنشاء كيان خدمة واستخدامه مع رمز وصول شخصي للاتصال بواجهات برمجة تطبيقات AZURE Databricks REST في أدوات CI/CD والأتمتة. توضح هذه المقالة كيف يمكن لمسؤولي Azure Databricks إدارة الرموز المميزة للوصول الشخصي في مساحة العمل الخاصة بهم. لإنشاء رمز وصول شخصي، راجع مصادقة رمز الوصول الشخصي Azure Databricks.

استخدام OAuth بدلا من الرموز المميزة للوصول الشخصي

توصي Databricks باستخدام رموز الوصول المميزة ل OAuth بدلا من PATs لمزيد من الأمان والراحة. تستمر Databricks في دعم PATs، ولكن نظرا لمخاطر الأمان الأكبر الخاصة بها، يقترح عليك تدقيق استخدام PAT الحالي لحسابك، وترحيل المستخدمين ومديري الخدمة إلى رموز الوصول المميزة ل OAuth. لإنشاء رمز مميز للوصول إلى OAuth (بدلا من PAT) لاستخدامه مع كيان خدمة في التنفيذ التلقائي، راجع مصادقة الوصول إلى Azure Databricks باستخدام كيان خدمة باستخدام OAuth (OAuth M2M).

توصي Databricks بتقليص تعرضك للرمز المميز للوصول الشخصي بالخطوات التالية:

  1. تعيين عمر قصير لجميع الرموز المميزة الجديدة التي تم إنشاؤها في مساحات العمل الخاصة بك. يجب أن تكون مدة البقاء أقل من 90 يوما.
  2. اعمل مع مسؤولي مساحة عمل Azure Databricks والمستخدمين للتبديل إلى تلك الرموز المميزة ذات مدة بقاء أقصر.
  3. إبطال جميع الرموز المميزة طويلة العمر لتقليل مخاطر إساءة استخدام هذه الرموز القديمة بمرور الوقت. تبطل Databricks تلقائيا رموز الوصول الشخصية التي لم يتم استخدامها منذ 90 يوما أو أكثر.

لتقييم استخدام مؤسستك ل PATs والتخطيط للترحيل من PATs إلى رموز الوصول المميزة ل OAuth، راجع تقييم استخدام الرمز المميز للوصول الشخصي في حساب Databricks الخاص بك.

المتطلبات

  • يجب أن تكون مسؤول مساحة عمل Azure Databricks لتعطيل رموز الوصول الشخصية لمساحة عمل، ومراقبة الرموز المميزة وإبطالها، والتحكم في المستخدمين غير المسؤولين الذين يمكنهم إنشاء الرموز المميزة واستخدام الرموز المميزة، وتعيين الحد الأقصى لمدة البقاء للرمز المميزة الجديدة.
  • يجب أن تكون مساحة عمل Azure Databricks الخاصة بك على خطة Premium.

تمكين أو تعطيل مصادقة الرمز المميز للوصول الشخصي لمساحة العمل

يتم تمكين مصادقة الرمز المميز للوصول الشخصي بشكل افتراضي لجميع مساحات عمل Azure Databricks التي تم إنشاؤها في 2018 أو أحدث. يمكنك تغيير هذا الإعداد في صفحة إعدادات مساحة العمل.

عند تعطيل رموز الوصول الشخصية لمساحة عمل، لا يمكن استخدام رموز الوصول الشخصية للمصادقة على Azure Databricks ولا يمكن لمستخدمي مساحة العمل ومديري الخدمة إنشاء رموز مميزة جديدة. لا يتم حذف أي رموز مميزة عند تعطيل مصادقة رمز الوصول الشخصي لمساحة عمل. إذا تمت إعادة تمكين الرموز المميزة لاحقا، تتوفر أي رموز مميزة غير منتهية الصلاحية للاستخدام.

إذا كنت ترغب في تعطيل الوصول إلى الرمز المميز لمجموعة فرعية من المستخدمين، يمكنك الاحتفاظ بمصادقة رمز الوصول الشخصي ممكنة لمساحة العمل وتعيين أذونات دقيقة للمستخدمين والمجموعات. راجع التحكم في الأشخاص الذين يمكنهم إنشاء رموز الوصول الشخصية واستخدامها.

تحذير

يتطلب Partner Connect وتكاملات الشركاء تمكين رموز الوصول الشخصية المميزة على مساحة العمل.

لتعطيل القدرة على إنشاء واستخدام رموز الوصول الشخصية لمساحة العمل:

  1. انتقل إلى صفحة الإعدادات.

  2. انقر فوق علامة التبويب خيارات متقدمة.

  3. انقر فوق تبديل الرموز المميزة للوصول الشخصي.

  4. انقر فوق تأكيد.

    قد يستغرق هذا التغيير بضع ثوان حتى يصبح ساري المفعول.

يمكنك أيضا استخدام واجهة برمجة تطبيقات تكوين مساحة العمل لتعطيل رموز الوصول الشخصية لمساحة العمل.

التحكم في من يمكنه إنشاء رموز الوصول الشخصية واستخدامها

يمكن لمسؤولي مساحة العمل تعيين أذونات على رموز الوصول الشخصية للتحكم في المستخدمين وكيانات الخدمة والمجموعات التي يمكنها إنشاء الرموز المميزة واستخدامها. للحصول على تفاصيل حول كيفية تكوين أذونات الرمز المميز للوصول الشخصي، راجع إدارة أذونات الرمز المميز للوصول الشخصي.

تعيين الحد الأقصى لعمر الرموز المميزة للوصول الشخصي الجديد

يمكنك إدارة الحد الأقصى لعمر الرموز المميزة الجديدة في مساحة العمل باستخدام Databricks CLI أو واجهة برمجة تطبيقات تكوين مساحة العمل. ينطبق هذا الحد فقط على الرموز المميزة الجديدة.

إشعار

تبطل Databricks تلقائيا رموز الوصول الشخصية غير المستخدمة لمدة 90 يوما أو أكثر. لن تبطل Databricks الرموز المميزة مع مدة بقاء تتجاوز 90 يوما طالما يتم استخدام الرموز المميزة بنشاط.

كأفضل ممارسة أمنية، توصي Databricks باستخدام رموز OAuth المميزة عبر PATs. إذا كنت تقوم بنقل المصادقة الخاصة بك من PATs إلى OAuth، توصي Databricks باستخدام الرموز المميزة قصيرة الأجل للحصول على أمان أقوى.

قم بتعيين maxTokenLifetimeDays إلى الحد الأقصى لعمر الرمز المميز للرمز المميزة الجديدة بالأيام، كعدد صحيح. إذا قمت بتعيينه إلى صفر، يسمح للرمز المميزة الجديدة أن يكون لها حد مدة البقاء. على سبيل المثال:

Databricks CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

واجهة برمجة تطبيقات تكوين مساحة العمل

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

لاستخدام موفر Databricks Terraform لإدارة الحد الأقصى لعمر الرموز المميزة الجديدة في مساحة عمل، راجع databricks_workspace_conf Resource.

مراقبة الرموز المميزة وإبطالها

يصف هذا القسم كيفية استخدام Databricks CLI لإدارة الرموز المميزة الموجودة في مساحة العمل. يمكنك أيضا استخدام واجهة برمجة تطبيقات إدارة الرمز المميز. تبطل Databricks تلقائيا رموز الوصول الشخصية التي لم يتم استخدامها منذ 90 يوما أو أكثر.

الحصول على رموز مميزة لمساحة العمل

للحصول على الرموز المميزة لمساحة العمل:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

حذف (إبطال) رمز مميز

لحذف رمز مميز، استبدل TOKEN_ID بمعرف الرمز المميز المراد حذفه:

databricks token-management delete TOKEN_ID