Monitorar e gerenciar pessoal access tokens

Para se autenticar no site Databricks REST API, um usuário pode criar um access token pessoal e usá-lo em sua solicitação REST API . Este artigo explica como os administradores do workspace podem gerenciar o access tokens pessoal em seu workspace.

Para criar um access token pessoal, consulte Databricks personal access token authentication.

Para criar um access token pessoal em nome de uma entidade de serviço, consulte gerenciar tokens para uma entidade de serviço.

Visão geral do gerenciamento de token de acesso pessoal

Os tokens de acesso pessoal são habilitados por padrão para todas as workspaces do Databricks que foram criadas no 2018 ou posterior.

Quando o access tokens pessoal está habilitado em um workspace, os usuários com a permissão CAN USE podem gerar access tokens pessoal para acessar Databricks REST APIs, e podem gerar esses tokens com qualquer data de expiração que desejarem, inclusive uma vida útil indefinida. Em default, nenhum usuário não administrador workspace tem a permissão CAN USE, o que significa que ele não pode criar ou usar access tokens pessoais.

Como administrador do workspace do Databricks, você pode desabilitar tokens de acesso pessoal para um workspace, monitorar e revogar tokens, controlar quais usuários não administradores podem criar tokens e usar tokens e definir um tempo de vida máximo para novos tokens.

O gerenciamento do access tokens pessoal em seu workspace requer o plano Premium ou acima. Para criar um access token pessoal, consulte Databricks personal access token authentication.

Ativar ou desativar a autenticação de token de acesso pessoal para o workspace

A autenticação por token de acesso pessoal é habilitada por padrão para todos os workspaces do Databricks que foram criados em 2018 ou posterior. Você pode alterar essa configuração na página de configurações do workspace.

Quando os tokens de acesso pessoal são desabilitados para um workspace, os tokens de acesso pessoal não podem ser usados para autenticar no Databricks e os usuários do workspace e entidades de serviço não podem criar novos tokens. Nenhum token é excluído quando você desabilita a autenticação de token de acesso pessoal para um workspace. Se os tokens forem reativados posteriormente, todos os tokens não expirados estarão disponíveis para uso.

Se quiser desativar o acesso a tokens para um subconjunto de usuários, o senhor pode manter a autenticação pessoal access token ativada para workspace e definir permissões refinadas para usuários e grupos. Consulte Controlar quem pode criar e usar tokens.

Aviso

O Partner Connect, as integrações de parceiros e os principais de serviços exigem que tokens de acesso pessoal sejam habilitados em um workspace.

Para desativar a capacidade de criar e usar tokens de acesso pessoal para o workspace:

  1. Vá para a página de configurações.

  2. Clique em Advanced tab.

  3. Clique na alavanca Tokens de acesso pessoal .

  4. Clique em Confirmar.

    Essa alteração pode levar alguns segundos para entrar em vigor.

O senhor também pode usar a configuraçãoworkspace APIpara desativar o access tokens pessoal para o workspace.

Controlar quem pode criar e usar tokens

Os administradores de workspace podem definir permissões em tokens de acesso pessoal para controlar quais usuários, princípios de serviço e grupos podem criar e usar tokens. Para obter detalhes sobre como configurar permissões de token de acesso pessoal, consulte Gerenciar acesso à automação Databricks.

Definir a vida útil máxima dos novos tokens

O senhor pode gerenciar a vida útil máxima do novo tokens em seu workspace usando o Databricks CLI. Esse limite se aplica somente a novos tokens.

Defina maxTokenLifetimeDays como o tempo máximo de vida dos tokens do novo tokens em dias, como um número inteiro. Se o senhor definir esse valor como zero, os novos tokens não poderão ter limite de tempo de vida. Por exemplo:

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

O senhor também pode usar a configuraçãoworkspace APIpara gerenciar o tempo de vida máximo para novos tokens em um workspace.

Monitorar e revogar tokens

Esta seção descreve como usar o Databricks CLI para gerenciar o site tokens existente no site workspace. O senhor também pode usar os tokens Management API.

Obter tokens para o workspace

Para obter o workspace's tokens:

databricks token-management list

É possível filtrar os resultados por um usuário usando os sinalizadores created-by-id (para filtrar pelo ID do usuário) ou created-by-username (para filtrar pelo nome de usuário).

Por exemplo:

databricks token-management list --created-by-username user@company.com

Resposta de exemplo:

ID  Created By  Comment
token-id  user@company.com dev

Excluir (revogar) um token

Para excluir tokens, substitua tokens pelo id dos tokens a serem excluídos:

databricks token-management delete TOKEN_ID