Bagikan melalui

Memantau dan mencabut token akses pribadi

  • Artikel

Untuk mengautentikasi ke REST API Azure Databricks, pengguna dapat membuat token akses pribadi (PAT) dan menggunakannya dalam permintaan REST API mereka. Pengguna juga dapat membuat perwakilan layanan dan menggunakannya dengan token akses pribadi untuk memanggil REST API Azure Databricks di alat dan otomatisasi CI/CD mereka. Artikel ini menjelaskan bagaimana admin Azure Databricks dapat mengelola token akses pribadi di ruang kerja mereka. Untuk membuat token akses pribadi, lihat Autentikasi token akses pribadi Azure Databricks.

Menggunakan OAuth alih-alih token akses pribadi

Databricks menyarankan Anda menggunakan token akses OAuth alih-alih PAT untuk keamanan dan kenyamanan yang lebih besar. Databricks terus mendukung PATS, tetapi karena risiko keamanan mereka yang lebih besar, disarankan agar Anda mengaudit penggunaan PAT akun Anda saat ini, dan memigrasikan pengguna dan perwakilan layanan Anda ke token akses OAuth. Untuk membuat token akses OAuth (bukan PAT) untuk digunakan dengan perwakilan layanan dalam otomatisasi, lihat Mengotorisasi akses tanpa pengawasan ke sumber daya Azure Databricks dengan perwakilan layanan menggunakan OAuth.

Databricks menyarankan Anda meminimalkan paparan token akses pribadi Anda dengan langkah-langkah berikut:

  1. Atur masa pakai singkat untuk semua token baru yang dibuat di ruang kerja Anda. Masa pakai harus kurang dari 90 hari. Secara default, masa pakai maksimum untuk semua token baru adalah 730 hari (dua tahun).
  2. Bekerja sama dengan administrator dan pengguna ruang kerja Azure Databricks Anda untuk beralih ke token tersebut dengan masa pakai yang lebih pendek.
  3. Cabut semua token berumur panjang untuk mengurangi risiko token lama ini disalahgunakan dari waktu ke waktu. Databricks secara otomatis mencabut semua PAT untuk ruang kerja Azure Databricks Anda saat token belum digunakan dalam 90 hari atau lebih.

Persyaratan

Anda harus menjadi admin untuk mengelola token akses pribadi.

Admin akun Azure Databricks dapat memantau dan mencabut token akses pribadi di seluruh akun.

Admin ruang kerja Azure Databricks dapat melakukan hal berikut:

  • Nonaktifkan token akses pribadi untuk ruang kerja.
  • Mengontrol pengguna non-admin mana yang dapat membuat token dan menggunakan token.
  • Atur masa pakai maksimum untuk token baru.
  • Pantau dan cabut token di ruang kerja mereka.

Mengelola token akses pribadi di ruang kerja Anda memerlukan paket Premium .

Memantau dan mencabut token akses pribadi di akun

Penting

Fitur ini ada di Pratinjau Privat. Untuk bergabung dengan pratinjau ini, hubungi tim akun Azure Databricks Anda.

Admin akun dapat memantau dan mencabut token akses pribadi dari konsol akun. Kueri untuk memantau token hanya berjalan saat admin akun menggunakan halaman laporan token.

  1. Untuk bergabung dengan pratinjau ini, pertama-tama hubungi tim akun Azure Databricks Anda.

  2. Sebagai admin akun, masuk ke konsol akun .

  3. Di bilah samping, klik Pratinjau.

  4. Gunakan tombol alih Alihkan kontrol di Posisi aktif. untuk mengaktifkan Laporan Token Akses.

    Aktifkan laporan token akses.

  5. Di bilah samping, klik Pengaturan dan laporan Token .

    Anda dapat memfilter menurut pemilik token, ruang kerja, tanggal dibuat, tanggal kedaluwarsa, dan tanggal token terakhir digunakan. Gunakan tombol di bagian atas laporan untuk memfilter token akses untuk prinsipal yang tidak aktif atau token akses tanpa tanggal kedaluwarsa.

    Menampilkan laporan token akses pribadi.

  6. Untuk mengekspor laporan ke CSV, klik Ekspor.

  7. Untuk mencabut token, pilih token dan klik Cabut.

    Mencabut token akses pribadi.

Mengaktifkan atau menonaktifkan autentikasi token akses pribadi untuk ruang kerja

Autentikasi token akses pribadi diaktifkan secara default untuk semua ruang kerja Azure Databricks yang dibuat pada 2018 atau yang lebih baru. Anda dapat mengubah pengaturan ini di halaman pengaturan ruang kerja.

Saat token akses pribadi dinonaktifkan untuk ruang kerja, token akses pribadi tidak dapat digunakan untuk mengautentikasi ke Azure Databricks dan pengguna ruang kerja dan perwakilan layanan tidak dapat membuat token baru. Tidak ada token yang dihapus saat Anda menonaktifkan autentikasi token akses pribadi untuk ruang kerja. Jika token diaktifkan kembali nanti, token yang tidak kedaluwarsa tersedia untuk digunakan.

Jika Anda ingin menonaktifkan akses token untuk subset pengguna, Anda dapat mempertahankan aktivasi autentikasi token akses pribadi untuk ruang kerja dan mengatur izin terperinci untuk pengguna dan grup. Lihat Mengontrol siapa yang dapat membuat dan menggunakan token akses pribadi.

Peringatan

Integrasi Mitra Connect dan mitra memerlukan token akses pribadi untuk diaktifkan di ruang kerja.

Untuk menonaktifkan kemampuan untuk membuat dan menggunakan token akses pribadi untuk ruang kerja:

  1. Buka halaman pengaturan.

  2. Klik tab Tingkat Lanjut.

  3. Klik tombol dwiarah Token Akses Privat.

  4. Klik Konfirmasi.

    Perubahan ini mungkin memerlukan waktu beberapa detik untuk berlaku.

Anda juga dapat menggunakan API konfigurasi Ruang Kerja untuk menonaktifkan token akses pribadi untuk ruang kerja.

Mengontrol siapa yang dapat membuat dan menggunakan token akses pribadi

Admin ruang kerja dapat mengatur izin pada token akses pribadi untuk mengontrol pengguna, perwakilan layanan, dan grup mana yang dapat membuat dan menggunakan token. Untuk detail tentang cara mengonfigurasi izin token akses pribadi, lihat Mengelola izin token akses pribadi.

Atur masa pakai maksimum token akses pribadi baru

Secara default, masa pakai maksimum token baru adalah 730 hari (dua tahun). Anda dapat mengatur masa pakai token maksimum yang lebih pendek di ruang kerja Anda menggunakan CLI Databricks atau API konfigurasi Ruang Kerja . Batas ini hanya berlaku untuk token baru.

Atur maxTokenLifetimeDays ke masa pakai token maksimum token baru dalam hari, sebagai bilangan bulat. Contohnya:

Databricks CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

API konfigurasi ruang kerja

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Jika Anda mengatur maxTokenLifetimeDays ke nol, token baru dapat dibuat dengan masa pakai hingga 730 hari (dua tahun).

Untuk menggunakan penyedia Databricks Terraform untuk mengelola masa pakai maksimum untuk token baru di ruang kerja, lihat sumber daya databricks_workspace_conf.

Memantau dan mencabut token di ruang kerja Anda

Bagian ini menjelaskan bagaimana admin ruang kerja dapat menggunakan Databricks CLI untuk mengelola token yang ada di ruang kerja. Anda juga dapat menggunakan API Manajemen Token. Databricks secara otomatis mencabut token akses pribadi yang belum digunakan dalam 90 hari atau lebih.

Dapatkan token untuk ruang kerja

Untuk mendapatkan token ruang kerja:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Menghapus atau mencabut token

Untuk menghapus token, ganti TOKEN_ID dengan id token yang akan dihapus:

databricks token-management delete TOKEN_ID