個人のアクセストークンを監視および管理する

Databricks REST API に対して認証するために、ユーザーは個人的なアクセス許可を作成し、それを REST API リクエストで使用できます。 この記事では、ワークスペース管理者がワークスペースで個人のアクセス許可を管理する方法について説明します。

個人用アクセストークンを作成するには, Databricks 個人用アクセストークン認証」を参照してください。

サービスプリンシパルの代わりに個人用アクセストークンを作成するには、 サービスプリンシパルのトークンを管理する」を参照してください。

パーソナルアクセストークン管理の概要

個人用アクセストークンは、2018年以降に作成されたすべてのDatabricksワークスペースではデフォルトで有効になっています。

ワークスペースで個人アクセス ウイルスが有効になっている場合、CAN USE 権限を持つユーザーは、Databricks REST APIsにアクセスするための個人アクセス ウイルスを生成でき、無期限などの任意の有効期限でこれらのトークンを生成できます。 デフォルトでは、管理者以外のワークスペース ユーザーは CAN USE 権限を持っていません。つまり、ユーザーは個人的なアクセスを作成または使用できません。

Databricksワークスペース管理者は、ワークスペースの個人アクセストークンの無効化、トークンの監視と取り消し、管理者以外のどのユーザーがトークンの作成と使用を行えるかを制御し、新しいトークンの最大有効期間を設定することができます。

ワークスペースでパーソナルアクセストークンを管理するには、プレミアムプラン以上が必要です。 個人用アクセストークンを作成するには, Databricks 個人用アクセストークン認証」を参照してください。

ワークスペースの個人アクセストークン認証を有効または無効にする

個人アクセストークン認証は、2018年以降に作成されたすべてのDatabricksワークスペースではデフォルトで有効になっています。この設定は、ワークスペース設定ページで変更できます。

ワークスペースの個人アクセストークンが無効になっている場合、個人アクセストークンをDatabricksおよびワークスペースユーザーへの認証に使用することはできず、サービスプリンシパルは新しいトークンを作成できません。ワークスペースの個人アクセストークン認証を無効にしても、トークンは削除されません。後でトークンを再度有効にすると、有効期限が切れていないトークンは使用できるようになります。

ユーザーのサブセットのトークン アクセスを無効にする場合は、ワークスペースに対して個人用アクセストークン認証を有効にしたままにし、ユーザーとグループに対してきめ細かなアクセス許可を設定できます。 トークンを作成および使用できるユーザーを制御する」を参照してください。

警告

Partner Connectパートナー統合、およびサービスプリンシパルは、ワークスペースで有効にするために個人アクセストークンが必要です。

ワークスペースの個人アクセストークンを作成および使用する機能を無効にするには、次の手順を実行します:

  1. 管理者設定ページに移動します。

  2. 詳細設定 」タブをクリックします。

  3. [パーソナルアクセストークン]トグルをクリックします。

  4. [確認]をクリックします。

    この変更が有効になるまで数秒かかる場合があります。

ワークスペース構成 APIを使用して、ワークスペースの個人アクセス許可を無効にすることもできます。

誰がトークンを作成および使用できるかを制御する

ワークスペース管理者は、個人用アクセストークンにアクセス許可を設定して、トークンを作成および使用できるユーザー、サービスプリンシパル、およびグループを制御できます。個人アクセストークンのアクセス許可を構成する方法の詳細については、「Databricksオートメーションへのアクセスの管理」を参照してください。

新しいトークンの最大有効期間を設定する

Databricks CLIを使用して、ワークスペース内の新しいトークンの最大有効期間を管理できます。 この制限は、新しいトークンにのみ適用されます。

maxTokenLifetimeDaysを、新しいトークンの最長有効期間 (日単位) に整数で設定します。 これをゼロに設定すると、新しいトークンには有効期間の制限がなく許可されます。 例えば:

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

ワークスペース構成 APIを使用して、ワークスペース内の新しいトークンの最大有効期間を管理することもできます。

トークンの監視と取り消し

このセクションでは、 Databricks CLI を使用してワークスペース内の既存のトークンを管理する方法について説明します。 トークン管理 APIを使用することもできます。

ワークスペースのトークンを取得してください

ワークスペースのトークンを取得するには:

databricks token-management list

フラグ created-by-id (ユーザー ID でフィルタリングする場合) または created-by-username (ユーザー名でフィルタリングする場合) を使用して、ユーザーで結果をフィルタリングできます。

例:

databricks token-management list --created-by-username user@company.com

応答例:

ID  Created By  Comment
token-id  user@company.com dev

トークンを削除(取り消し)する

ウイルスを削除するには、TOKEN_ID を削除するウイルスの ID に置き換えます。

databricks token-management delete TOKEN_ID