Monitorar e revogar tokens de acesso pessoal

Para se autenticar no site Databricks REST APIum usuário pode criar um token de acesso pessoal (PAT) e usá-lo em sua solicitação REST API . Um usuário também pode criar uma entidade de serviço e usá-la com tokens de acesso pessoal para chamar Databricks REST APIs em suas ferramentas e automação CI/CD. Este artigo explica como os administradores do Databricks podem gerenciar o acesso pessoal tokens em seu workspace. Para criar um token de acesso pessoal, consulte Databricks personal access tokens authentication.

Use o OAuth em vez de tokens de acesso pessoal

A Databricks recomenda que o senhor use tokens de acesso OAuth em vez de PATs para maior segurança e conveniência. Databricks continua a oferecer suporte a PATs, mas, devido ao seu maior risco de segurança, sugerimos que o senhor faça uma auditoria do uso atual de PATs no seu accounte migre seus usuários e entidades de serviço para o acesso OAuth tokens. Para criar um OAuth tokens de acesso (em vez de um PAT) para usar com uma entidade de serviço em automação, consulte Autorizar o acesso autônomo ao Databricks recurso com uma entidade de serviço usando OAuth.

Databricks recomenda que o senhor minimize a exposição de seus tokens de acesso pessoal com as seguintes etapas:

Defina uma vida útil curta para todos os novos tokens criados em seu espaço de trabalho. A vida útil deve ser inferior a 90 dias. Pelo site default, a vida útil máxima de todos os novos tokens é de 730 dias (dois anos).
Trabalhe com seus administradores e usuários do Databricks workspace para mudar para aqueles tokens com vida útil mais curta.
Revogue todos os tokens de longa duração para reduzir o risco de uso indevido desses tokens mais antigos ao longo do tempo. Databricks revoga automaticamente todos os PATs do seu espaço de trabalho Databricks quando os tokens não são usados há 90 dias ou mais.

Requisitos

O senhor deve ser um administrador para gerenciar tokens de acesso pessoal.

Databricks account Os administradores podem monitorar e revogar o acesso pessoal tokens em todo o site account.

Databricks workspace os administradores podem fazer o seguinte:

Desativar o acesso pessoal tokens para um workspace.
Controle quais usuários não administradores podem criar tokens e usar tokens.
Definir um tempo de vida máximo para novos tokens.
Monitorar e revogar tokens em seu site workspace.

O gerenciamento do access token pessoal no workspace exige o plano Premium ouacima.

Monitorar e revogar o acesso pessoal tokens no account

info

Visualização

Esse recurso está em Public Preview.

Os administradores de conta podem monitorar e revogar o acesso pessoal tokens no console account. As consultas para monitorar a execução do tokens somente quando um administrador do account usa a página de relatório de tokens.

Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Pré-visualizações .
Use os botões para ativar o Relatório de tokens de acesso .
Na barra lateral, clique em Configurações e relatório de tokens .

O senhor pode filtrar pelo proprietário dos tokens, workspace, data de criação, data de expiração e data em que os tokens foram usados pela última vez. Use os botões na parte superior do relatório para filtrar os tokens de acesso para diretores inativos ou tokens de acesso sem data de expiração.
Para exportar um relatório para um arquivo CSV, clique em Exportar .
Para revogar tokens, selecione um token e clique em Revoke .

Ativar ou desativar a autenticação de tokens de acesso pessoal para o workspace

A autenticação por token de acesso pessoal é habilitada por padrão para todos os workspaces do Databricks que foram criados em 2018 ou posterior. Você pode alterar essa configuração na página de configurações do workspace.

Quando os tokens de acesso pessoal são desabilitados para um workspace, os tokens de acesso pessoal não podem ser usados para autenticar no Databricks e os usuários do workspace e entidades de serviço não podem criar novos tokens. Nenhum token é excluído quando você desabilita a autenticação de token de acesso pessoal para um workspace. Se os tokens forem reativados posteriormente, todos os tokens não expirados estarão disponíveis para uso.

Se quiser desativar o acesso a tokens para um subconjunto de usuários, o senhor pode manter a autenticação de tokens de acesso pessoal ativada para o site workspace e definir permissões refinadas para usuários e grupos. Consulte Controlar quem pode criar e usar tokens de acesso pessoal.

atenção

Partner Connect As integrações de parceiros e entidades de serviço exigem que o acesso pessoal tokens seja ativado em um workspace.

Para desativar a capacidade de criar e usar tokens de acesso pessoal para o workspace:

Vá para a página de configurações.
Clique na guia Avançado .
Clique na alavanca Tokens de acesso pessoal .
Clique em Confirmar .

Essa alteração pode levar alguns segundos para entrar em vigor.

O senhor também pode usar a configuração do espaço de trabalho API para desativar o acesso pessoal tokens para o workspace.

Controle quem pode criar e usar tokens de acesso pessoal

Os administradores do workspace podem definir permissões no acesso pessoal tokens para controlar quais usuários, entidades de serviço e grupos podem criar e usar tokens. Para obter detalhes sobre como configurar permissões de tokens de acesso pessoal, consulte Gerenciar permissões de tokens de acesso pessoal.

Definir a vida útil máxima dos novos tokens de acesso pessoal

Pelo site default, a vida útil máxima do novo tokens é de 730 dias (dois anos). O senhor pode definir um tempo de vida máximo de tokens mais curto em seu workspace usando o Databricks CLI ou a configuração do espaço de trabalho API. Esse limite se aplica somente a novos tokens.

Defina maxTokenLifetimeDays como o tempo máximo de vida dos tokens do novo tokens em dias, como um número inteiro. Por exemplo:

Databricks CLI
Workspace configuration API

Bash
databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Bash
curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Se o senhor definir maxTokenLifetimeDays como zero, novos tokens poderão ser criados com uma vida útil de até 730 dias (dois anos).

Para usar o provedor Databricks Terraform para gerenciar o tempo de vida máximo para novos tokens em um workspace, consulte o recurso de espaço de trabalho.

Monitorar e revogar tokens em seu workspace

Esta seção descreve como os administradores do workspace podem usar o Databricks CLI para gerenciar o tokens existente no workspace. O senhor também pode usar os tokens Management API. A Databricks revoga automaticamente os tokens de acesso pessoal que não foram usados em 90 dias ou mais.

Obtenha tokens para o senhor. workspace

Para obter o workspace's tokens:

Python
Bash

Python
from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash
# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Excluir (revogar) um token

Para excluir tokens, substitua tokens pelo id dos tokens a serem excluídos:

Bash

databricks token-management delete TOKEN_ID

Use o OAuth em vez de tokens de acesso pessoal​

Requisitos​

Monitorar e revogar o acesso pessoal tokens no account​

Ativar ou desativar a autenticação de tokens de acesso pessoal para o workspace​

Controle quem pode criar e usar tokens de acesso pessoal​

Definir a vida útil máxima dos novos tokens de acesso pessoal​

Monitorar e revogar tokens em seu workspace​

Obtenha tokens para o senhor. workspace​

Excluir (revogar) um token​