Kişisel erişim belirteçlerini izleme ve iptal etme
Kullanıcı, Azure Databricks REST API'sinde kimlik doğrulaması yapmak için kişisel erişim belirteci (PAT) oluşturabilir ve rest API isteğinde kullanabilir. Kullanıcı ayrıca bir hizmet sorumlusu oluşturabilir ve bunu kişisel erişim belirteci ile kullanarak CI/CD araçları ve otomasyonunda Azure Databricks REST API'lerini çağırabilir. Bu makalede, Azure Databricks yöneticilerinin çalışma alanlarındaki kişisel erişim belirteçlerini nasıl yönetebileceği açıklanmaktadır. Kişisel erişim belirteci oluşturmak için bkz . Azure Databricks kişisel erişim belirteci kimlik doğrulaması.
Kişisel erişim belirteçleri yerine OAuth kullanma
Databricks, daha fazla güvenlik ve kolaylık sağlamak için PAT'ler yerine OAuth erişim belirteçleri kullanmanızı önerir. Databricks, PTS'leri desteklemeye devam eder, ancak daha büyük güvenlik riski nedeniyle hesabınızın geçerli PAT kullanımını denetlemeniz ve kullanıcılarınızı ve hizmet sorumlularınızı OAuth erişim belirteçlerine geçirmeniz önerilir. Otomasyonda hizmet sorumlusuyla kullanılacak bir OAuth erişim belirteci (PAT yerine) oluşturmak için bkz. OAuthkullanarak hizmet sorumlusuyla Azure Databricks kaynaklarına katılımsız erişim yetkilendirme.
Databricks, aşağıdaki adımlarla kişisel erişim belirtecinizin açığa çıkarma durumunu en aza indirmenizi önerir:
- Çalışma alanlarınızda oluşturulan tüm yeni belirteçler için kısa bir yaşam süresi ayarlayın. Yaşam süresi 90 günden az olmalıdır. Varsayılan olarak, tüm yeni belirteçler için maksimum yaşam süresi 730 gündür (iki yıl).
- Azure Databricks çalışma alanı yöneticileriniz ve kullanıcılarınızla birlikte çalışarak daha kısa ömürleri olan bu belirteçlere geçin.
- Bu eski belirteçlerin zaman içinde kötüye kullanılma riskini azaltmak için tüm uzun süreli belirteçleri iptal edin. Databricks, belirteçler 90 veya daha fazla gün boyunca kullanılmadığında Azure Databricks çalışma alanlarınız için tüm Kişisel Erişim Belirteçlerini (PAT'leri) otomatik olarak iptal eder.
Gereksinimler
Kişisel erişim belirteçlerini yönetmek için yönetici olmanız gerekir.
Azure Databricks hesap yöneticileri, hesap genelindeki kişisel erişim belirteçlerini izleyebilir ve iptal edebilir.
Azure Databricks çalışma alanı yöneticileri aşağıdakileri yapabilir:
- Çalışma alanı için kişisel erişim belirteçlerini devre dışı bırakın.
- Hangi yönetici olmayan kullanıcıların belirteç oluşturabileceğini ve belirteçleri kullanabileceğini denetleme.
- Yeni belirteçler için maksimum yaşam süresi ayarlayın.
- Çalışma alanlarındaki belirteçleri izleyin ve geri çekin.
Çalışma alanınızdaki kişisel erişim belirteçlerini yönetmek için Premium planınasahip olmanız gerekir.
Hesaptaki kişisel erişim belirteçlerini izleme ve iptal etme
Önemli
Bu özellik, Özel Önizleme sürümündedir. Bu önizlemeye katılmak için Azure Databricks hesap ekibinize başvurun.
Hesap yöneticileri, hesap konsolundan kişisel erişim belirteçlerini izleyebilir ve iptal edebilir. Belirteçleri izlemek için yapılan sorgular yalnızca hesap yöneticisi belirteç raporu sayfasını kullandığında çalıştırılır.
Bu önizlemeye katılmak için önce Azure Databricks hesap ekibinize başvurun.
Hesap yöneticisi olarak
hesap konsolunda oturum açın. Kenar çubuğunda Önizlemeleröğesine tıklayın.
Açık konumda geçiş
Toggle control in On position.Erişim Belirteci Raporuetkinleştirmek için.Erişim belirteci raporunu etkinleştir.
Kenar çubuğunda Ayarlar ve Belirteç raporuöğesine tıklayın.
Belirtecin sahibine, çalışma alanına, oluşturulma tarihine, son kullanma tarihine ve belirtecin son kullanıldığı tarihe göre filtreleyebilirsiniz. Etkin olmayan sorumluların erişim belirteçlerini veya son kullanma tarihi olmayan erişim belirteçlerini filtrelemek için raporun üst kısmındaki düğmeleri kullanın.
Kişisel erişim belirteci raporunu görüntüle.
Raporu CSV'ye aktarmak için Dışarı Aktaröğesine tıklayın.
Belirteci iptal etmek için bir belirteç seçin ve İptal etseçeneğine tıklayın.
kişisel erişim belirtecini iptal
Çalışma alanı için kişisel erişim belirteci kimlik doğrulamasını etkinleştirme veya devre dışı bırakma
Kişisel erişim belirteci kimlik doğrulaması, 2018 veya sonraki sürümlerde oluşturulan tüm Azure Databricks çalışma alanları için varsayılan olarak etkindir. Bu ayarı çalışma alanı ayarları sayfasından değiştirebilirsiniz.
Bir çalışma alanı için kişisel erişim belirteçleri devre dışı bırakıldığında, Azure Databricks'de kimlik doğrulaması yapmak için kişisel erişim belirteçleri kullanılamaz ve çalışma alanı kullanıcıları ve hizmet sorumluları yeni belirteçler oluşturamaz. Çalışma alanı için kişisel erişim belirteci kimlik doğrulamasını devre dışı bırakdığınızda hiçbir belirteç silinmez. Belirteçler daha sonra yeniden etkinleştirilirse süresi dolmamış tüm belirteçler kullanılabilir.
Kullanıcıların bir alt kümesi için belirteç erişimini devre dışı bırakmak istiyorsanız, çalışma alanı için kişisel erişim belirteci kimlik doğrulamasını etkinleştirebilir ve kullanıcılar ve gruplar için ayrıntılı izinler ayarlayabilirsiniz. Bkz . Kişisel erişim belirteçlerini kimlerin oluşturabileceğini ve kullanabileceğini denetleme.
Uyarı
İş Ortağı Bağlantısı ve iş ortağı tümleştirmeleri , bir çalışma alanında kişisel erişim belirteçlerinin etkinleştirilmesini gerektirir.
Çalışma alanı için kişisel erişim belirteçleri oluşturma ve kullanma özelliğini devre dışı bırakmak için:
Ayarlar sayfasına gidin.
Gelişmiş sekmesi'ne tıklayın.
Kişisel Erişim Belirteçleri iki durumlu düğmesine tıklayın.
Onayla'yı tıklatın.
Bu değişikliğin etkili olması birkaç saniye sürebilir.
Çalışma alanı için kişisel erişim belirteçlerini devre dışı bırakmak için Çalışma Alanı yapılandırma API'sini de kullanabilirsiniz.
Kişisel erişim belirteçlerini kimlerin oluşturabileceğini ve kullanabileceğini denetleme
Çalışma alanı yöneticileri, hangi kullanıcıların, hizmet sorumlularının ve grupların belirteç oluşturup kullanabileceğini denetlemek için kişisel erişim belirteçlerinde izinler ayarlayabilir. Kişisel erişim belirteci izinlerini yapılandırma hakkında ayrıntılı bilgi için bkz . Kişisel erişim belirteci izinlerini yönetme.
Yeni kişisel erişim belirteçlerinin maksimum kullanım ömrünü ayarlama
Varsayılan olarak, yeni belirteçlerin maksimum ömrü 730 gündür (iki yıl). Databricks CLI veya Çalışma Alanı yapılandırma API'sinikullanarak çalışma alanınızda daha kısa bir maksimum belirteç ömrü ayarlayabilirsiniz. Bu sınır yalnızca yeni belirteçler için geçerlidir.
Gün cinsinden yeni belirteçlerin belirteç ömrü üst sınırına tamsayı olarak ayarlayın maxTokenLifetimeDays . Örneğin:
Databricks CLI
databricks workspace-conf set-status --json '{
"maxTokenLifetimeDays": "90"
}'
Çalışma alanı yapılandırma API'si
curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
-d '{
"maxTokenLifetimeDays": "90"
}'
maxTokenLifetimeDays sıfır olarak ayarlarsanız, ömrü 730 güne (iki yıl) kadar olan yeni belirteçler oluşturulabilir.
Databricks Terraform sağlayıcısını kullanarak çalışma alanında yeni belirteçlerin maksimum ömrünü yönetmek için bkz . kaynak databricks_workspace_conf.
Çalışma alanınızdaki belirteçleri izleme ve iptal etme
Bu bölümde, çalışma alanı yöneticilerinin çalışma alanında mevcut belirteçleri yönetmek için Databricks CLI nasıl kullanabileceği açıklanmaktadır. Belirteç Yönetimi API'sini de kullanabilirsiniz. Databricks, 90 veya daha fazla gün içinde kullanılmayan kişisel erişim belirteçlerini otomatik olarak iptal eder.
Çalışma alanı için belirteçleri alma
Çalışma alanının belirteçlerini almak için:
Python
from databricks.sdk import WorkspaceClient
w = WorkspaceClient()
spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')
display(spark.sql('select * from tokens order by creation_time'))
Bash
# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list
Belirteci silme (iptal etme)
Belirteci silmek için TOKEN_ID silinecek belirtecin kimliğiyle değiştirin:
databricks token-management delete TOKEN_ID