Monitorar e revogar dados pessoais access tokens

Para se autenticar no site Databricks REST APIum usuário pode criar um access token (PAT) pessoal e usá-lo em sua solicitação REST API . Um usuário também pode criar uma entidade de serviço e usá-la com um access token pessoal para chamar Databricks REST APIs em suas ferramentas e automação CI/CD. Este artigo explica como os administradores do Databricks podem gerenciar o access tokens pessoal em seu workspace. Para criar um access token pessoal, consulte Databricks personal access token authentication.

Use OAuth em vez de pessoal access tokens

Databricks recomenda que o senhor use o site OAuth access tokens em vez de PATs para maior segurança e conveniência. Databricks continua a oferecer suporte a PATs, mas, devido ao seu maior risco de segurança, sugerimos que o senhor faça uma auditoria do uso atual de PATs no seu accounte migre seus usuários e entidades de serviço para OAuth access tokens. Para criar um OAuth access token (em vez de um PAT) para usar com uma entidade de serviço em automação, consulte Autenticar o acesso a Databricks com uma entidade de serviço usando OAuth (OAuth M2M).

Databricks recomenda que o senhor minimize sua exposição pessoal ao access token com os seguintes passos:

  1. Defina uma vida útil curta para todos os novos tokens criados em seu espaço de trabalho. A vida útil deve ser inferior a 90 dias. Pelo site default, a vida útil máxima de todos os novos tokens é de 730 dias (dois anos).

  2. Trabalhe com seus administradores e usuários do Databricks workspace para mudar para aqueles tokens com vida útil mais curta.

  3. Revogue todos os tokens de longa duração para reduzir o risco de uso indevido desses tokens mais antigos ao longo do tempo. Databricks revoga automaticamente todos os PATs do seu espaço de trabalho Databricks quando os tokens não são usados há 90 dias ou mais.

Requisitos

O senhor deve ser um administrador para gerenciar tokens de acesso pessoal.

Databricks account Os administradores podem monitorar e revogar o acesso pessoal tokens em todo o site account.

Databricks workspace os administradores podem fazer o seguinte:

  • Desativar o acesso pessoal tokens para um workspace.

  • Controle quais usuários não administradores podem criar tokens e usar tokens.

  • Definir um tempo de vida máximo para novos tokens.

  • Monitorar e revogar tokens em seu site workspace.

O gerenciamento do access token pessoal no workspace exige o plano Premium ouacima.

Monitorar e revogar tokens de acesso pessoal na conta

Prévia

Esse recurso está em Public Preview. Para join essa visualização, entre em contato com a equipe Databricks account .

Os administradores de conta podem monitorar e revogar o acesso pessoal tokens no console account. As consultas para monitorar a execução do tokens somente quando um administrador do account usa a página de relatório de tokens.

  1. Para join essa visualização, primeiro entre em contato com sua equipe Databricks account .

  2. Como administrador da conta, faça login no console da conta.

  3. Na barra lateral, clique em Pré-visualizações.

  4. Use os botões Alterne o controle na posição Ligado. para ativar o Relatório de tokens de acesso.

    Ativar relatório de tokens de acesso.

  5. Na barra lateral, clique em Configurações e relatório de tokens.

    O senhor pode filtrar pelo proprietário dos tokens, workspace, data de criação, data de expiração e data em que os tokens foram usados pela última vez. Use os botões na parte superior do relatório para filtrar os tokens de acesso para diretores inativos ou tokens de acesso sem data de expiração.

    Exibir um relatório de tokens de acesso pessoal.

  6. Para exportar um relatório para um arquivo CSV, clique em Exportar.

  7. Para revogar tokens, selecione um token e clique em Revoke.

    Revogar tokens de acesso pessoal.

Ativar ou desativar a autenticação de token de acesso pessoal para o workspace

A autenticação por token de acesso pessoal é habilitada por padrão para todos os workspaces do Databricks que foram criados em 2018 ou posterior. Você pode alterar essa configuração na página de configurações do workspace.

Quando os tokens de acesso pessoal são desabilitados para um workspace, os tokens de acesso pessoal não podem ser usados para autenticar no Databricks e os usuários do workspace e entidades de serviço não podem criar novos tokens. Nenhum token é excluído quando você desabilita a autenticação de token de acesso pessoal para um workspace. Se os tokens forem reativados posteriormente, todos os tokens não expirados estarão disponíveis para uso.

Se quiser desativar o acesso a tokens para um subconjunto de usuários, o senhor pode manter a autenticação pessoal access token ativada para workspace e definir permissões refinadas para usuários e grupos. Veja Controle quem pode criar e usar o site pessoal access tokens.

Aviso

O Partner Connect, as integrações de parceiros e os principais de serviços exigem que tokens de acesso pessoal sejam habilitados em um workspace.

Para desativar a capacidade de criar e usar tokens de acesso pessoal para o workspace:

  1. Vá para a página de configurações.

  2. Clique em Advanced tab.

  3. Clique na alavanca Tokens de acesso pessoal .

  4. Clique em Confirmar.

    Essa alteração pode levar alguns segundos para entrar em vigor.

O senhor também pode usar a configuraçãoworkspace APIpara desativar o access tokens pessoal para o workspace.

Controle quem pode criar e usar dados pessoais access tokens

workspace Os administradores podem definir permissões no access tokens pessoal para controlar quais usuários, entidades de serviço e grupos podem criar e usar o tokens. Para obter detalhes sobre como configurar as permissões pessoais de access token, consulte gerenciar permissões pessoais de access token .

Definir o tempo máximo de vida útil de um novo pessoal access tokens

Pelo site default, a vida útil máxima do novo tokens é de 730 dias (dois anos). O senhor pode definir um tempo de vida máximo de tokens mais curto em seu workspace usando o Databricks CLI ou a configuração do espaço de trabalho API. Esse limite se aplica somente a novos tokens.

Defina maxTokenLifetimeDays como o tempo máximo de vida dos tokens do novo tokens em dias, como um número inteiro. Por exemplo:

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Se o senhor definir maxTokenLifetimeDays como zero, novos tokens poderão ser criados com uma vida útil de até 730 dias (dois anos).

Para usar o provedor Databricks Terraform para gerenciar o tempo de vida máximo para novos tokens em um workspace, consulte o recurso de espaço de trabalho.

Monitorar e revogar tokens em seu espaço de trabalho

Esta seção descreve como os administradores do workspace podem usar o Databricks CLI para gerenciar o tokens existente no workspace. O senhor também pode usar os tokens Management API. A Databricks revoga automaticamente os tokens de acesso pessoal que não foram usados em 90 dias ou mais.

Obter tokens para o workspace

Para obter o workspace's tokens:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Excluir (revogar) um token

Para excluir tokens, substitua tokens pelo id dos tokens a serem excluídos:

databricks token-management delete TOKEN_ID