Monitorar e revogar tokens de acesso pessoal

Para autenticar na APIREST Databricks , um usuário pode criar um access token pessoal (PAT) e usá-lo em sua solicitação API REST . Um usuário também pode criar uma entidade de serviço e usá-la com um access token pessoal para chamar APIs REST Databricks em suas ferramentas CI/CD e automação. Este artigo explica como os administradores Databricks podem gerenciar access tokens pessoal em seu workspace. Para criar um access token pessoal, consulte Autenticar com access tokens pessoal Databricks (legado).

Use o OAuth em vez de tokens de acesso pessoal

A Databricks recomenda que o senhor use tokens de acesso OAuth em vez de PATs para maior segurança e conveniência. Databricks continua a oferecer suporte a PATs, mas, devido ao seu maior risco de segurança, sugerimos que o senhor faça uma auditoria do uso atual de PATs no seu account e migre seus usuários e entidades de serviço para o acesso OAuth tokens. Para criar um token de acesso OAuth (em vez de um PAT) para usar com uma entidade de serviço em automação, consulte Autorizar o acesso da entidade de serviço a Databricks com OAuth.

Databricks recomenda que o senhor minimize a exposição de seus tokens de acesso pessoal com as seguintes etapas:

Defina uma vida útil curta para todos os novos tokens criados em seu espaço de trabalho. A vida útil deve ser inferior a 90 dias. Pelo site default, a vida útil máxima de todos os novos tokens é de 730 dias (dois anos).
Trabalhe com seus administradores e usuários do Databricks workspace para mudar para aqueles tokens com vida útil mais curta.
Revogue todos os tokens de longa duração para reduzir o risco de uso indevido desses tokens mais antigos ao longo do tempo. Databricks revoga automaticamente todos os PATs do seu espaço de trabalho Databricks quando os tokens não são usados há 90 dias ou mais.

Requisitos

O senhor deve ser um administrador para gerenciar tokens de acesso pessoal.

Os administradores account Databricks podem monitorar e revogar access tokens pessoais em toda a account.

Databricks workspace os administradores podem fazer o seguinte:

Desativar o acesso pessoal tokens para um workspace.
Controle quais usuários não administradores podem criar tokens e usar tokens.
Definir um tempo de vida máximo para novos tokens.
Monitorar e revogar tokens em seu site workspace.

O gerenciamento do acesso pessoal tokens em seu workspace requer o plano Premium.

Monitorar e revogar o acesso pessoal tokens no account

Os administradores de conta podem monitorar e revogar o acesso pessoal tokens no console account. As consultas para monitorar a execução do tokens somente quando um administrador do account usa a página de relatório de tokens.

Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Relatório de segurança e tokens .

O senhor pode filtrar pelo proprietário dos tokens, workspace, data de criação, data de expiração e data em que os tokens foram usados pela última vez. Use os botões na parte superior do relatório para filtrar os tokens de acesso para diretores inativos ou tokens de acesso sem data de expiração.
Para exportar um relatório para um arquivo CSV, clique em Exportar .
Para revogar tokens, selecione um token e clique em Revoke .

Ativar ou desativar a autenticação de tokens de acesso pessoal para o workspace

A autenticação de tokens de acesso pessoal é ativada por default para todo o espaço de trabalho Databricks. O senhor pode alterar essa configuração na página de configurações workspace.

Quando os tokens de acesso pessoal são desabilitados para um workspace, os tokens de acesso pessoal não podem ser usados para autenticar no Databricks e os usuários do workspace e entidades de serviço não podem criar novos tokens. Nenhum token é excluído quando você desabilita a autenticação de token de acesso pessoal para um workspace. Se os tokens forem reativados posteriormente, todos os tokens não expirados estarão disponíveis para uso.

Se quiser desativar o acesso a tokens para um subconjunto de usuários, o senhor pode manter a autenticação de tokens de acesso pessoal ativada para o site workspace e definir permissões refinadas para usuários e grupos. Consulte Controlar quem pode criar e usar tokens de acesso pessoal.

atenção

Partner Connect As integrações de parceiros e entidades de serviço exigem que o acesso pessoal tokens seja ativado em um workspace.

Para desativar a capacidade de criar e usar tokens de acesso pessoal para o workspace:

Vá para a página de configurações.
Clique na guia Avançado .
Clique na alavanca Tokens de acesso pessoal .
Clique em Confirmar .

Essa alteração pode levar alguns segundos para entrar em vigor.

O senhor também pode usar a configuração do espaço de trabalho API para desativar o acesso pessoal tokens para o workspace.

Controle quem pode criar e usar tokens de acesso pessoal

Os administradores do workspace podem definir permissões no acesso pessoal tokens para controlar quais usuários, entidades de serviço e grupos podem criar e usar tokens. Para obter detalhes sobre como configurar permissões de tokens de acesso pessoal, consulte Gerenciar permissões de tokens de acesso pessoal.

Defina o tempo de vida máximo dos novos access tokenspessoal.

Por default, o tempo de vida máximo dos novos tokens é de 730 dias (dois anos). Defina um tempo de vida máximo mais curto para os tokens em seu workspace usando a CLIDatabricks ou a APIde configuração do espaço de trabalho. Esse limite se aplica somente a novos tokens.

Defina maxTokenLifetimeDays como o tempo de vida máximo (em dias) para novos tokens, como um número inteiro. Por exemplo:

Databricks CLI
Workspace configuration API
Terraform

Bash
databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Bash
curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Definir maxTokenLifetimeDays para "0" remove qualquer limite de tempo de vida personalizado e retorna ao default do sistema de 730 dias (dois anos). Use esta configuração para desativar um limite personalizado previamente configurado.

Notificações de expiração do access token pessoal

A Databricks envia notificações por email para os usuários do workspace aproximadamente sete dias antes que seus access tokens pessoais expirem. Os usuários devem ter nomes de usuário baseados em e-mail para receber estas notificações. O Databricks agrupa todos os tokens expirando no mesmo workspace em um único email.

Notificações de expiração de tokens da entidade de serviço

info

Beta

Esse recurso está em Beta.

Para tokens de entidade de serviço, o Databricks envia notificações de expiração para administradores do workspace. As notificações são enviadas apenas para tokens de entidade de serviço com uma vida útil superior a sete dias que foram utilizados pelo menos uma vez.

Monitorar e revogar tokens em seu workspace

Esta seção descreve como os administradores do workspace podem usar o Databricks CLI para gerenciar o tokens existente no workspace. O senhor também pode usar os tokens Management API. A Databricks revoga automaticamente os tokens de acesso pessoal que não foram usados em 90 dias ou mais.

Obtenha tokens para o senhor. workspace

Para obter o workspace's tokens:

Python
Bash

Python
from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash
# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Excluir (revogar) um token

Para excluir tokens, substitua tokens pelo id dos tokens a serem excluídos:

Bash
databricks token-management delete TOKEN_ID

Revise o status de escopo automático do token

O senhor pode revisar o status do escopo automático de um token, os escopos inferidos e os escopos aplicados usando a UI do workspace ou a API de Token. Para uma visão geral de como o escopo automático funciona, consulte Escopo automático para tokens de acesso pessoais.

Para novos tokens, você pode visualizar os escopos propostos na UI do workspace. Para tokens existentes com acesso a todas as APIs, os escopos propostos estão disponíveis somente por meio da API.

Workspace UI
API

No seu workspace do Databricks, clique no seu nome de usuário no canto superior direito.
Clique em Configurações .
No painel de navegação esquerdo, clique em Desenvolvedor .
Click access tokens > Manage .
Revise o status de escopo automático de cada token e seus escopos históricos ou aplicados.

Use GET /api/2.0/token/list para revisar os escopos inferidos e o estado do escopo automático.

Novos tokens : A resposta inclui inferred_scopes mostrando os escopos inferidos atuais e autoscope_state mostrando o estado atual do escopo automático.

JSON
{
  "token_infos": [
    {
      "token_id": "<token-id>",
      "comment": "example autoscoping completed PAT",
      "scopes": ["authentication"],
      "autoscope_state": "AUTOSCOPE_STATE_COMPLETED",
      "inferred_scopes": ["authentication"]
    }
  ]
}

**Tokens existentes**: A resposta inclui um backfill_scopes campo mostrando os escopos inferidos do uso histórico da API.

JSON
{
  "token_infos": [
    {
      "token_id": "<token-id>",
      "comment": "example existing all-apis PAT",
      "backfill_scopes": ["authentication"]
    }
  ]
}

Use o OAuth em vez de tokens de acesso pessoal​

Requisitos​

Monitorar e revogar o acesso pessoal tokens no account​

Ativar ou desativar a autenticação de tokens de acesso pessoal para o workspace​

Controle quem pode criar e usar tokens de acesso pessoal​

Defina o tempo de vida máximo dos novos access tokenspessoal.​

Notificações de expiração do access token pessoal​

Notificações de expiração de tokens da entidade de serviço​

Monitorar e revogar tokens em seu workspace​

Obtenha tokens para o senhor. workspace​

Excluir (revogar) um token​

Revise o status de escopo automático do token​