Databricksアカウントでの個人用アクセストークンの使用状況を評価する

個人用アクセストークン (PAT) を使用して Databricks リソースに安全にアクセスするには、個々のアクセストークンを定期的に取り消す必要があります。 このトピックでは、 Databricks ワークスペースで実行するときに、過去 90 日間にローテーションまたは更新されていないすべての個人用アクセストークン (PAT) を一覧表示して、それらを取り消すことができるノートブックを提供します。

注：

Databricks では、認証には PAT ではなく、 OAuth シークレットとアクセストークンを使用することをお勧めします。 OAuthDatabricksワークスペース リソースへのアクセスを認証するために を使用する方法の詳細については、「OAuth ユーザー対マシン (U2M) 認証 」を参照してください。

前提条件

このノートブックを Databricks ワークスペースで実行するには、Databricks ワークスペースで ID フェデレーションが有効になっている必要があります。 アカウント管理者のアクセス許可がある場合は、次の手順に従ってユーザーの ID フェデレーションを有効にできます: ID フェデレーションを有効にする。

このノートブックをオートメーションで使用する場合、または他のユーザーに提供して実行する場合は、 サービスプリンシパルを作成します。 新しいサービスプリンシパルにアカウント管理者の権限を付与し、サービスプリンシパルのクライアント ID とクライアント シークレットをノートブックに追加します (コードを参照)。 サービスプリンシパルは、管理者権限で各ワークスペースに自動的に追加されるため、ノートブックを実行してそのワークスペースの PAT を一覧表示できます。 ノートブックを実行した後、サービスプリンシパルを削除します。

Databricks ワークスペース PAT 使用状況ノートブック

次のノートブックを実行し、アカウント内の PAT の状態を確認します。

Databricks アカウントとワークスペースの PAT 使用状況を評価する

ノートブックを新しいタブで開く インポート用のリンクをコピー

次のステップ

DatabricksアカウントのPAT使用量を評価したら、次の手順でトークンの露出を最小限に抑えることをDatabricksことをお勧めします。

1. ワークスペースで作成されたすべての新しいトークンの有効期間を短く設定します。 寿命は 90 日未満である必要があります。

2. Databricks ワークスペースの管理者やユーザーと協力して、有効期間を短くしたトークンに切り替えます。

3. これらの古いトークンが時間の経過とともに悪用されるリスクを減らすために、存続期間の長いトークンをすべて取り消します。 Databricks は、トークンが 90 日以上使用されていない場合、Databricks ワークスペースのすべての PAT を自動的に取り消します。

おすすめの方法

APIDatabricks自動化で ワークスペースとリソースへの アクセスを認証するには、Databricks サービスプリンシパルとOAuth を使用することをお勧めします 。Databricksは互換性のためにPATを引き続きサポートしていますが、セキュリティリスクが高いため、認証には推奨されなくなりました。