Megosztás a következőn keresztül:

Személyes hozzáférési jogkivonatok monitorozása és visszavonása

  • Cikk

Az Azure Databricks REST API-val való hitelesítéshez a felhasználó létrehozhat egy személyes hozzáférési jogkivonatot (PAT), és felhasználhatja azt a REST API-kérésben. A felhasználók létrehozhatnak egy szolgáltatásnevet is, és személyes hozzáférési jogkivonattal meghívhatják az Azure Databricks REST API-kat a CI-/CD-eszközeiken és az automatizálásukon. Ez a cikk azt ismerteti, hogy az Azure Databricks rendszergazdái hogyan kezelhetik a személyes hozzáférési jogkivonatokat a munkaterületükön. Személyes hozzáférési jogkivonat létrehozásához tekintse meg az Azure Databricks személyes hozzáférési jogkivonat-hitelesítését.

OAuth használata személyes hozzáférési jogkivonatok helyett

A Databricks azt javasolja, hogy A PAT-k helyett OAuth hozzáférési jogkivonatokat használjon a nagyobb biztonság és kényelem érdekében. A Databricks továbbra is támogatja a paT-okat, de nagyobb biztonsági kockázatuk miatt javasoljuk, hogy ellenőrizze a fiók aktuális PAT-használatát, és migrálja felhasználóit és szolgáltatásneveit OAuth-hozzáférési jogkivonatokra. Az OAuth hozzáférési jogkivonat (PAT helyett) az automation szolgáltatásnévvel való használatához való létrehozásához tekintse meg Az Azure Databricks-erőforrások felügyelet nélküli hozzáférésének engedélyezése szolgáltatásnévvel az OAuthhasználatával.

A Databricks azt javasolja, hogy minimalizálja a személyes hozzáférési jogkivonatok expozícióját az alábbi lépésekkel:

  1. Állítson be egy rövid élettartamot a munkaterületeken létrehozott összes új jogkivonathoz. Az élettartamnak 90 napnál rövidebbnek kell lennie. Alapértelmezés szerint az összes új jogkivonat maximális élettartama 730 nap (két év).
  2. Az Azure Databricks-munkaterület rendszergazdáival és felhasználóival együttműködve váltson ezekre a jogkivonatokra rövidebb élettartammal.
  3. Vonja vissza az összes hosszú élettartamú jogkivonatot, hogy csökkentse annak kockázatát, hogy ezek a régebbi jogkivonatok idővel visszaéljenek. A Databricks automatikusan visszavonja az Azure Databricks-munkaterületek összes PAT-ját, ha a jogkivonatot 90 vagy több napja nem használták.

Követelmények

A személyes hozzáférési jogkivonatok kezeléséhez rendszergazdának kell lennie.

Az Azure Databricks-fiók rendszergazdái a teljes fiókban figyelhetik és visszavonhatják a személyes hozzáférési jogkivonatokat.

Az Azure Databricks-munkaterület rendszergazdái a következőket tehetik:

  • Személyes hozzáférési jogkivonatok letiltása egy munkaterületen.
  • Szabályozhatja, hogy mely nem rendszergazdai felhasználók hozhatnak létre és használhatnak tokeneket.
  • Új jogkivonatok maximális élettartamának beállítása.
  • A saját munkaterületükön lévő tokenek figyelése és visszavonása.

A személyes hozzáférési jogkivonatok munkaterületen való kezeléséhez a Prémium csomagszükséges.

Személyes hozzáférési jogkivonatok figyelése és visszavonása a fiókban

Fontos

Ez a funkció Privát előzetes verzióban. Az előzetes verzióhoz való csatlakozáshoz forduljon az Azure Databricks-fiók csapatához.

A fiókadminisztrátor a fiókkonzolon figyelheti és visszavonhatja a személyes hozzáférési jogkivonatokat. A jogkivonatok figyelésére vonatkozó lekérdezések csak akkor futnak, ha egy fiókadminisztrátor használja a jogkivonat jelentésoldalát.

  1. Az előzetes verzióhoz való csatlakozáshoz először forduljon az Azure Databricks-fiók csapatához.

  2. Fiók adminisztrátorként jelentkezzen be a fiók konzoljába.

  3. Az oldalsávon kattintson az Előnézetekelemre.

  4. A kapcsolók használata Kapcsoló vezérlőelem be állásban.hozzáférési jogkivonat-jelentésengedélyezéséhez.

    Hozzáférési token jelentés engedélyezése.

  5. Az oldalsávon kattintson a Beállítások és Jogkivonat jelentéselemre.

    Szűrhet a jogkivonat tulajdonosa, a munkaterület, a létrehozás dátuma, a lejárati dátum és a jogkivonat utolsó felhasználásának dátuma alapján. A jelentés tetején található gombokkal szűrheti az inaktív tagok hozzáférési jogkivonatait, illetve a lejárati dátum nélküli hozzáférési jogkivonatokat.

    Személyes hozzáférési jogkivonat-jelentés megtekintése.

  6. Ha csv-be szeretne exportálni egy jelentést, kattintson Exportálásgombra.

  7. Jogkivonat visszavonásához jelöljön ki egy jogkivonatot, és kattintson a Visszavonásgombra.

    Személyes hozzáférési jogkivonat visszavonása.

Személyes hozzáférési jogkivonat hitelesítésének engedélyezése vagy letiltása a munkaterületen

A személyes hozzáférési jogkivonat hitelesítése alapértelmezés szerint engedélyezve van a 2018-ban vagy újabb verzióban létrehozott összes Azure Databricks-munkaterületen. Ezt a beállítást a munkaterület beállításai lapon módosíthatja.

Ha a személyes hozzáférési jogkivonatok le vannak tiltva egy munkaterületen, a személyes hozzáférési jogkivonatok nem használhatók az Azure Databricks hitelesítésére, és a munkaterület felhasználói és a szolgáltatásnevek nem hozhatnak létre új jogkivonatokat. A rendszer nem törli a jogkivonatokat, ha letiltja a személyes hozzáférési jogkivonatok hitelesítését egy munkaterületen. Ha a jogkivonatok később újra engedélyezve lesznek, a nem lejárt jogkivonatok felhasználhatók.

Ha le szeretné tiltani a jogkivonat-hozzáférést a felhasználók egy részhalmazához, a személyes hozzáférési jogkivonat hitelesítése engedélyezve marad a munkaterületen, és részletes engedélyeket állíthat be a felhasználók és csoportok számára. Lásd: A személyes hozzáférési jogkivonatok létrehozásának és használatának szabályozása.

Figyelmeztetés

A Partner Connect és a partnerintegrációk használatához engedélyezni kell a személyes hozzáférési jogkivonatokat egy munkaterületen.

Személyes hozzáférési jogkivonatok létrehozásának és használatának letiltása a munkaterületen:

  1. Lépjen a beállítások lapra.

  2. Kattintson a Speciális fülre.

  3. Kattintson a Személyes hozzáférési jogkivonatok kapcsolóra.

  4. Kattintson a Megerősítés gombra.

    A módosítás érvénybe lépése eltarthat néhány másodpercig.

A Munkaterület konfigurációs API-jának használatával is letilthatja a munkaterület személyes hozzáférési jogkivonatait.

A személyes hozzáférési jogkivonatok létrehozásának és használatának szabályozása

A munkaterület rendszergazdái a személyes hozzáférési jogkivonatokra vonatkozó engedélyeket állíthatják be annak szabályozására, hogy mely felhasználók, szolgáltatásnevek és csoportok hozhatnak létre és használhatnak jogkivonatokat. A személyes hozzáférési jogkivonat-engedélyek konfigurálásáról további információt a személyes hozzáférési jogkivonat engedélyeinek kezelése című témakörben talál.

Új személyes hozzáférési jogkivonatok maximális élettartamának beállítása

Alapértelmezés szerint az új jogkivonatok maximális élettartama 730 nap (két év). A Databricks CLI vagy a Munkaterület konfigurációs APIsegítségével rövidebb maximális token élettartamot állíthat be a munkahelyén. Ez a korlát csak az új jogkivonatokra vonatkozik.

Állítsa maxTokenLifetimeDays be az új jogkivonatok maximális élettartamát napokban, egész számként. Példa:

A Databricks parancssori felülete

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Munkaterület konfigurációs API-ja

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Ha a maxTokenLifetimeDays nullára állítja, új tokenek hozhatók létre, amelyek élettartama legfeljebb 730 nap (két év) lehet.

Ha a Databricks Terraform-szolgáltatóval szeretné kezelni a munkaterületen lévő új jogkivonatok maximális élettartamát, tekintse meg databricks_workspace_conf erőforrást.

Tokenek figyelése és visszavonása a te munkaterületedben

Ez a szakasz azt ismerteti, hogy a munkaterület rendszergazdái hogyan használhatják a Databricks CLI-t meglévő jogkivonatok kezelésére a munkaterületen. A Token Management API-t is használhatja. A Databricks automatikusan visszavonja a 90 vagy több napja nem használt személyes hozzáférési jogkivonatokat.

Jogkivonatok lekérése a munkaterülethez

A munkaterület jogkivonatainak lekérése:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Jogkivonat törlése (visszavonása)

Jogkivonat törléséhez cserélje le a TOKEN_ID a törölni kívánt jogkivonat azonosítójára:

databricks token-management delete TOKEN_ID