Személyes hozzáférési jogkivonatok monitorozása és visszavonása
Az Azure Databricks REST API-val való hitelesítéshez a felhasználó létrehozhat egy személyes hozzáférési jogkivonatot (PAT), és felhasználhatja azt a REST API-kérésben. A felhasználók létrehozhatnak egy szolgáltatásnevet is, és személyes hozzáférési jogkivonattal meghívhatják az Azure Databricks REST API-kat a CI-/CD-eszközeiken és az automatizálásukon. Ez a cikk azt ismerteti, hogy az Azure Databricks rendszergazdái hogyan kezelhetik a személyes hozzáférési jogkivonatokat a munkaterületükön. Személyes hozzáférési jogkivonat létrehozásához tekintse meg az Azure Databricks személyes hozzáférési jogkivonat-hitelesítését.
OAuth használata személyes hozzáférési jogkivonatok helyett
A Databricks azt javasolja, hogy A PAT-k helyett OAuth hozzáférési jogkivonatokat használjon a nagyobb biztonság és kényelem érdekében. A Databricks továbbra is támogatja a paT-okat, de nagyobb biztonsági kockázatuk miatt javasoljuk, hogy ellenőrizze a fiók aktuális PAT-használatát, és migrálja felhasználóit és szolgáltatásneveit OAuth-hozzáférési jogkivonatokra. Az OAuth hozzáférési jogkivonat (PAT helyett) az automation szolgáltatásnévvel való használatához való létrehozásához tekintse meg Az Azure Databricks-erőforrások felügyelet nélküli hozzáférésének engedélyezése szolgáltatásnévvel az OAuthhasználatával.
A Databricks azt javasolja, hogy minimalizálja a személyes hozzáférési jogkivonatok expozícióját az alábbi lépésekkel:
- Állítson be egy rövid élettartamot a munkaterületeken létrehozott összes új jogkivonathoz. Az élettartamnak 90 napnál rövidebbnek kell lennie. Alapértelmezés szerint az összes új jogkivonat maximális élettartama 730 nap (két év).
- Az Azure Databricks-munkaterület rendszergazdáival és felhasználóival együttműködve váltson ezekre a jogkivonatokra rövidebb élettartammal.
- Vonja vissza az összes hosszú élettartamú jogkivonatot, hogy csökkentse annak kockázatát, hogy ezek a régebbi jogkivonatok idővel visszaéljenek. A Databricks automatikusan visszavonja az Azure Databricks-munkaterületek összes PAT-ját, ha a jogkivonatot 90 vagy több napja nem használták.
Követelmények
A személyes hozzáférési jogkivonatok kezeléséhez rendszergazdának kell lennie.
Az Azure Databricks-fiók rendszergazdái a teljes fiókban figyelhetik és visszavonhatják a személyes hozzáférési jogkivonatokat.
Az Azure Databricks-munkaterület rendszergazdái a következőket tehetik:
- Személyes hozzáférési jogkivonatok letiltása egy munkaterületen.
- Szabályozhatja, hogy mely nem rendszergazdai felhasználók hozhatnak létre és használhatnak tokeneket.
- Új jogkivonatok maximális élettartamának beállítása.
- A saját munkaterületükön lévő tokenek figyelése és visszavonása.
A személyes hozzáférési jogkivonatok munkaterületen való kezeléséhez a Prémium csomagszükséges.
Személyes hozzáférési jogkivonatok figyelése és visszavonása a fiókban
Fontos
Ez a funkció Privát előzetes verzióban. Az előzetes verzióhoz való csatlakozáshoz forduljon az Azure Databricks-fiók csapatához.
A fiókadminisztrátor a fiókkonzolon figyelheti és visszavonhatja a személyes hozzáférési jogkivonatokat. A jogkivonatok figyelésére vonatkozó lekérdezések csak akkor futnak, ha egy fiókadminisztrátor használja a jogkivonat jelentésoldalát.
Az előzetes verzióhoz való csatlakozáshoz először forduljon az Azure Databricks-fiók csapatához.
Fiók adminisztrátorként jelentkezzen be a fiók konzoljába.
Az oldalsávon kattintson az Előnézetekelemre.
A kapcsolók használata
hozzáférési jogkivonat-jelentésengedélyezéséhez.
Az oldalsávon kattintson a Beállítások és Jogkivonat jelentéselemre.
Szűrhet a jogkivonat tulajdonosa, a munkaterület, a létrehozás dátuma, a lejárati dátum és a jogkivonat utolsó felhasználásának dátuma alapján. A jelentés tetején található gombokkal szűrheti az inaktív tagok hozzáférési jogkivonatait, illetve a lejárati dátum nélküli hozzáférési jogkivonatokat.
Ha csv-be szeretne exportálni egy jelentést, kattintson Exportálásgombra.
Jogkivonat visszavonásához jelöljön ki egy jogkivonatot, és kattintson a Visszavonásgombra.
Személyes hozzáférési jogkivonat hitelesítésének engedélyezése vagy letiltása a munkaterületen
A személyes hozzáférési jogkivonat hitelesítése alapértelmezés szerint engedélyezve van a 2018-ban vagy újabb verzióban létrehozott összes Azure Databricks-munkaterületen. Ezt a beállítást a munkaterület beállításai lapon módosíthatja.
Ha a személyes hozzáférési jogkivonatok le vannak tiltva egy munkaterületen, a személyes hozzáférési jogkivonatok nem használhatók az Azure Databricks hitelesítésére, és a munkaterület felhasználói és a szolgáltatásnevek nem hozhatnak létre új jogkivonatokat. A rendszer nem törli a jogkivonatokat, ha letiltja a személyes hozzáférési jogkivonatok hitelesítését egy munkaterületen. Ha a jogkivonatok később újra engedélyezve lesznek, a nem lejárt jogkivonatok felhasználhatók.
Ha le szeretné tiltani a jogkivonat-hozzáférést a felhasználók egy részhalmazához, a személyes hozzáférési jogkivonat hitelesítése engedélyezve marad a munkaterületen, és részletes engedélyeket állíthat be a felhasználók és csoportok számára. Lásd: A személyes hozzáférési jogkivonatok létrehozásának és használatának szabályozása.
Figyelmeztetés
A Partner Connect és a partnerintegrációk használatához engedélyezni kell a személyes hozzáférési jogkivonatokat egy munkaterületen.
Személyes hozzáférési jogkivonatok létrehozásának és használatának letiltása a munkaterületen:
Lépjen a beállítások lapra.
Kattintson a Speciális fülre.
Kattintson a Személyes hozzáférési jogkivonatok kapcsolóra.
Kattintson a Megerősítés gombra.
A módosítás érvénybe lépése eltarthat néhány másodpercig.
A Munkaterület konfigurációs API-jának használatával is letilthatja a munkaterület személyes hozzáférési jogkivonatait.
A személyes hozzáférési jogkivonatok létrehozásának és használatának szabályozása
A munkaterület rendszergazdái a személyes hozzáférési jogkivonatokra vonatkozó engedélyeket állíthatják be annak szabályozására, hogy mely felhasználók, szolgáltatásnevek és csoportok hozhatnak létre és használhatnak jogkivonatokat. A személyes hozzáférési jogkivonat-engedélyek konfigurálásáról további információt a személyes hozzáférési jogkivonat engedélyeinek kezelése című témakörben talál.
Új személyes hozzáférési jogkivonatok maximális élettartamának beállítása
Alapértelmezés szerint az új jogkivonatok maximális élettartama 730 nap (két év). A Databricks CLI vagy a Munkaterület konfigurációs APIsegítségével rövidebb maximális token élettartamot állíthat be a munkahelyén. Ez a korlát csak az új jogkivonatokra vonatkozik.
Állítsa maxTokenLifetimeDays
be az új jogkivonatok maximális élettartamát napokban, egész számként. Példa:
A Databricks parancssori felülete
databricks workspace-conf set-status --json '{
"maxTokenLifetimeDays": "90"
}'
Munkaterület konfigurációs API-ja
curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
-d '{
"maxTokenLifetimeDays": "90"
}'
Ha a maxTokenLifetimeDays
nullára állítja, új tokenek hozhatók létre, amelyek élettartama legfeljebb 730 nap (két év) lehet.
Ha a Databricks Terraform-szolgáltatóval szeretné kezelni a munkaterületen lévő új jogkivonatok maximális élettartamát, tekintse meg databricks_workspace_conf erőforrást.
Tokenek figyelése és visszavonása a te munkaterületedben
Ez a szakasz azt ismerteti, hogy a munkaterület rendszergazdái hogyan használhatják a Databricks CLI-t meglévő jogkivonatok kezelésére a munkaterületen. A Token Management API-t is használhatja. A Databricks automatikusan visszavonja a 90 vagy több napja nem használt személyes hozzáférési jogkivonatokat.
Jogkivonatok lekérése a munkaterülethez
A munkaterület jogkivonatainak lekérése:
Python
from databricks.sdk import WorkspaceClient
w = WorkspaceClient()
spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')
display(spark.sql('select * from tokens order by creation_time'))
Bash
# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list
Jogkivonat törlése (visszavonása)
Jogkivonat törléséhez cserélje le a TOKEN_ID a törölni kívánt jogkivonat azonosítójára:
databricks token-management delete TOKEN_ID