Sdílet prostřednictvím

Monitorování a odvolávání osobních přístupových tokenů

  • Článek

Aby se uživatel mohl ověřit v rozhraní AZURE Databricks REST API, může vytvořit osobní přístupový token (PAT) a použít ho v požadavku rest API. Uživatel může také vytvořit služební principal a použít jej s osobním přístupovým tokenem k volání REST API Azure Databricks ve svých CI/CD nástrojích a automatizaci. Tento článek vysvětluje, jak můžou správci Azure Databricks spravovat osobní přístupové tokeny ve svém pracovním prostoru. Pokud chcete vytvořit osobní přístupový token, přečtěte si téma Ověřování osobních přístupových tokenů pro Azure Databricks.

Použití OAuth místo osobních přístupových tokenů

Databricks doporučuje používat přístupové tokeny OAuth místo osobních přístupových tokenů (PAT) pro lepší zabezpečení a pohodlí. Databricks nadále podporuje PATy, ale vzhledem k jejich většímu bezpečnostnímu riziku se doporučuje provést audit aktuálního využití PAT vašeho účtu a migrovat uživatele a servisní účty na přístupové tokeny OAuth. Pokud chcete vytvořit přístupový token OAuth (místo PAT) pro použití s instančním objektem v automatizaci, přečtěte si téma Autorizace bezobslužného přístupu k prostředkům Azure Databricks pomocí instančního objektu pomocí OAuth.

Databricks doporučuje minimalizovat vystavení osobního přístupového tokenu pomocí následujících kroků:

  1. Nastavte krátkou životnost pro všechny nové tokeny vytvořené ve vašich pracovních prostorech. Životnost by měla být kratší než 90 dnů. Ve výchozím nastavení je maximální životnost všech nových tokenů 730 dnů (dva roky).
  2. Spolupracujte se správci a uživateli pracovního prostoru Azure Databricks a přepněte na tyto tokeny s kratší životností.
  3. Odvolejte všechny dlouho platné tokeny pro snížení rizika zneužití těchto starších tokenů v průběhu času. Databricks automaticky odvolá všechny osobní přístupové tokeny pro vaše pracovní prostory Azure Databricks, pokud se token nepoužil 90 nebo více dnů.

Požadavky

Abyste mohli spravovat osobní přístupové tokeny, musíte být správcem.

Správci účtu Azure Databricks mohou monitorovat a odvolávat osobní přístupové tokeny v rámci účtu.

Správci pracovního prostoru Azure Databricks můžou udělat toto:

  • Zakažte osobní přístupové tokeny pro pracovní prostor.
  • Určuje, kteří uživatelé bez oprávnění správce můžou vytvářet tokeny a používat tokeny.
  • Nastavte maximální životnost nových tokenů.
  • Sledujte a zrušte tokeny ve svém pracovním prostoru.

Správa osobních přístupových tokenů ve vašem pracovním prostoru vyžaduje plán Premium.

Monitorování a odvolávání tokenů osobního přístupu v účtu

Důležitý

Tato funkce je ve verzi Public Preview.

Správci účtů mohou monitorovat a odvolávat osobní přístupové tokeny z konzole účtu. Dotazy na monitorování tokenů se spouštějí pouze když správce účtu otevře stránku sestavy tokenů.

  1. Jako správce účtu se přihlaste ke konzole účtu .

  2. V postranním panelu klikněte na Náhledy.

  3. Použijte přepínače ,,a k přepnutí ovládacího prvku do pozice Zapnuto a k povolení Sestavy přístupového tokenu .

    Povolit zprávu o přístupovém tokenu

  4. Na bočním panelu klikněte na nastavení a Zpráva o tokenech.

    Můžete filtrovat podle vlastníka tokenu, pracovního prostoru, data vytvoření, data vypršení platnosti a data posledního použití tokenu. Pomocí tlačítek v horní části sestavy můžete filtrovat přístupové tokeny pro neaktivní objekty zabezpečení nebo přístupové tokeny, které nemají datum vypršení platnosti.

    Zobrazit sestavu osobního přístupového tokenu.

  5. Chcete-li exportovat sestavu do souboru CSV, klikněte na Export.

  6. Pokud chcete token odvolat, vyberte token a klikněte na Odvolat.

    odvolat osobní přístupový token.

Povolení nebo zakázání ověřování osobního přístupového tokenu pro pracovní prostor

Ověřování pomocí osobních přístupových tokenů je ve výchozím nastavení povoleno pro všechny pracovní prostory Azure Databricks vytvořené v roce 2018 nebo později. Toto nastavení můžete změnit na stránce nastavení pracovního prostoru.

Pokud jsou osobní přístupové tokeny pro pracovní prostor zakázány, nemohou být použity k ověření v Azure Databricks a uživatelé pracovního prostoru a instanční objekty služeb nemohou vytvářet nové tokeny. Když zakážete ověřování pomocí osobního přístupového tokenu pro pracovní prostor, žádné tokeny nebudou odstraněny. Pokud jsou tokeny později znovu povolené, budou k dispozici všechny tokeny, jejichž platnost nevypršela.

Pokud chcete zakázat přístup k osobním přístupovým tokenům pro podmnožinu uživatelů, můžete pro pracovní prostor zachovat autentizaci pomocí osobních přístupových tokenů a nastavit jemně odstupňovaná oprávnění pro uživatele a skupiny. Podívejte se , kdo může vytvářet a používat osobní přístupové tokeny.

Varování

Partner Connect a integrace partnerů vyžadují, aby byly v pracovním prostoru povoleny osobní přístupové tokeny.

Zakázání možnosti vytvářet a používat osobní přístupové tokeny pro pracovní prostor:

  1. Přejděte na stránku nastavení.

  2. Klikněte na záložku Upřesnit.

  3. Klikněte na přepínač Osobní přístupové tokeny .

  4. Klikněte na tlačítko Potvrdit.

    Tato změna může trvat několik sekund, než se projeví.

Pomocí rozhraní API konfigurace pracovního prostoru můžete také zakázat osobní přístupové tokeny pracovního prostoru.

Kontrolujte, kdo může vytvářet a používat osobní přístupové tokeny

Správci pracovního prostoru můžou nastavit oprávnění k osobním přístupovým tokenům a kontrolovat, kteří uživatelé, instanční objekty a skupiny můžou vytvářet a používat tokeny. Podrobnosti o konfiguraci oprávnění osobního přístupového tokenu najdete v tématu Správa oprávnění osobního přístupového tokenu.

Nastavte maximální životnost nových osobních přístupových tokenů

Ve výchozím nastavení je maximální životnost nových tokenů 730 dnů (dva roky). V pracovním prostoru můžete nastavit kratší maximální životnost tokenu pomocí Databricks CLI nebo rozhraní API konfigurace pracovního prostoru. Tento limit platí jenom pro nové tokeny.

Nastavte maxTokenLifetimeDays maximální dobu životnosti nových tokenů ve dnech jako celé číslo. Příklad:

Databricks CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Rozhraní API pro konfiguraci pracovního prostoru

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Pokud nastavíte maxTokenLifetimeDays na nulu, je možné vytvořit nové tokeny s životností až 730 dnů (dva roky).

Pokud chcete použít zprostředkovatele Databricks Terraform ke správě maximální doby životnosti nových tokenů v pracovním prostoru, viz Prostředek databricks_workspace_conf.

Monitorování a odvolávání tokenů v pracovním prostoru

Tato část popisuje, jak správci pracovního prostoru můžou ke správě existujících tokenů v pracovním prostoru použít rozhraní příkazového řádku Databricks. Můžete také použít rozhraní API pro správu tokenů. Databricks automaticky odvolá osobní přístupové tokeny, které se nepoužívaly za 90 nebo více dnů.

Získání tokenů pro pracovní prostor

Pokud chcete získat tokeny pracovního prostoru:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Odstranění (odvolání) tokenu

Pokud chcete token odstranit, nahraďte TOKEN_ID ID tokenu, který chcete odstranit:

databricks token-management delete TOKEN_ID