Überwachen und Widerrufen von persönlichen Zugriffstoken

  • Artikel

Um sich bei der Rest-API von Azure Databricks zu authentifizieren, kann ein Benutzer ein persönliches Zugriffstoken (PERSONAL Access Token, PAT) erstellen und in seiner REST-API-Anforderung verwenden. Ein Benutzer kann auch einen Dienstprinzipal erstellen und mit einem persönlichen Zugriffstoken verwenden, um Azure Databricks-REST-APIs in seinen CI/CD-Tools und -Automatisierungen aufzurufen. In diesem Artikel wird erläutert, wie Azure Databricks-Administratoren persönliche Zugriffstoken in ihrem Arbeitsbereich verwalten können. Informationen zum Erstellen eines persönlichen Zugriffstoken finden Sie unter Authentifizierung mit persönlichem Azure Databricks-Zugriffstoken.

Verwenden von OAuth anstelle von persönlichen Zugriffstoken

Databricks empfiehlt, OAuth-Zugriffstoken anstelle von PATs für mehr Sicherheit und Komfort zu verwenden. Databricks unterstützt weiterhin PATs, aber aufgrund ihres größeren Sicherheitsrisikos wird empfohlen, die aktuelle PAT-Nutzung Ihres Kontos zu überwachen und Ihre Benutzer und Dienstprinzipale zu OAuth-Zugriffstoken zu migrieren. Informationen zum Erstellen eines OAuth-Zugriffstokens (anstelle eines PAT) zur Verwendung mit einem Dienstprinzipal in der Automatisierung finden Sie unter Authentifizierung des Zugriffs bei Azure Databricks mit einem Dienstprinzipal unter Verwendung von OAuth (OAuth M2M).

Databricks empfiehlt Ihnen, Ihre persönliche Zugriffstokenexposition mit den folgenden Schritten zu minimieren:

  1. Legen Sie eine kurze Lebensdauer für alle neuen Token fest, die in Ihren Arbeitsbereichen erstellt wurden. Die Lebensdauer sollte weniger als 90 Tage betragen.
  2. Arbeiten Sie mit Ihren Azure Databricks-Arbeitsbereichsadministratoren und -Benutzern zusammen, um zu diesen Token mit kürzeren Lebensdauern zu wechseln.
  3. Widerrufen Sie alle langlebigen Token, um das Risiko zu verringern, dass diese älteren Token im Laufe der Zeit missbraucht werden. Databricks widerruft automatisch persönliche Zugriffstoken, die in 90 oder mehr Tagen nicht verwendet wurden.

Informationen zur Bewertung der Nutzung von PATs ihrer eigenen Organisation und zum Planen einer Migration von PATs zu OAuth-Zugriffstoken finden Sie unter Bewerten der Verwendung von persönlichen Zugriffstoken in Ihrem Databricks-Konto.

Anforderungen

  • Sie müssen ein Azure Databricks-Arbeitsbereichsadministrator sein, um persönliche Zugriffstoken für einen Arbeitsbereich zu deaktivieren, Token zu überwachen und zu widerrufen, zu steuern, welche Nichtadministratorbenutzer Token erstellen und Token verwenden können, und eine maximale Lebensdauer für neue Token festlegen.
  • Ihr Azure Databricks-Arbeitsbereich muss sich im Premium-Tarif befinden.

Aktivieren oder Deaktivieren der Authentifizierung mit persönlichen Zugriffstoken für den Arbeitsbereich

Die Authentifizierung mit persönlichen Zugriffstoken ist standardmäßig für alle Azure Databricks-Arbeitsbereiche aktiviert, die in 2018 oder später erstellt wurden. Sie können diese Einstellung auf der Seite mit den Arbeitsbereichseinstellungen ändern.

Wenn persönliche Zugriffstoken für einen Arbeitsbereich deaktiviert sind, können sie nicht zur Authentifizierung bei Azure Databricks verwendet werden, und Arbeitsbereichsbenutzer und Dienstprinzipale können keine neuen Token erstellen. Wenn Sie die Authentifizierung mit persönlichen Zugriffstoken für einen Arbeitsbereich deaktivieren, werden keine Token gelöscht. Wenn Token später erneut aktiviert werden, stehen alle nicht abgelaufenen Token zur Verwendung zur Verfügung.

Wenn Sie den Tokenzugriff für ein Gruppe von Benutzer deaktivieren möchten, können Sie die Authentifizierung mit persönlichen Zugriffstoken für den Arbeitsbereich aktiviert lassen und fein abgestufte Berechtigungen für Benutzer und Gruppen festlegen. Sehen Sie sich "Steuern" an, wer persönliche Zugriffstoken erstellen und verwenden kann.

Warnung

Partner Connect und Partnerintegrationen erfordern, dass persönliche Zugriffstoken in einem Arbeitsbereich aktiviert werden.

So deaktivieren Sie die Möglichkeit, persönliche Zugriffstoken für den Arbeitsbereich zu erstellen und zu verwenden:

  1. Navigieren Sie zur Seite Einstellungen.

  2. Klicken Sie auf die Registerkarte Erweitert.

  3. Klicken Sie auf die Umschaltfläche Persönliche Zugriffstoken.

  4. Klicken Sie auf Confirm (Bestätigen).

    Es kann einige Sekunden dauern, bis diese Änderung wirksam wird.

Sie können die Arbeitsbereichskonfigurations-API auch verwenden, um persönliche Zugriffstoken für den Arbeitsbereich zu deaktivieren.

Steuern, wer persönliche Zugriffstoken erstellen und verwenden kann

Arbeitsbereichsadministratoren können Berechtigungen für persönliche Zugriffstoken festlegen, um zu steuern, welche Benutzer, Dienstprinzipale und Gruppen Token erstellen und verwenden können. Ausführliche Informationen zum Konfigurieren von Berechtigungen für persönliche Zugriffstoken finden Sie unter Verwalten von Berechtigungen für persönliche Zugriffstoken.

Maximale Lebensdauer neuer persönlicher Zugriffstoken festlegen

Sie können die maximale Lebensdauer neuer Token in Ihrem Arbeitsbereich mithilfe der Databricks CLI oder der Arbeitsbereichskonfigurations-API verwalten. Diese Begrenzung gilt nur für neue Token.

Hinweis

Databricks widerruft automatisch persönliche Zugriffstoken, die für 90 oder mehr Tage nicht verwendet werden. Databricks widerrufen Keine Token mit Lebensdauern von mehr als 90 Tagen, solange die Token aktiv verwendet werden.

Als bewährte Methode für die Sicherheit empfiehlt Databricks die Verwendung von OAuth-Token über PATs. Wenn Sie Ihre Authentifizierung von PATs zu OAuth umstellen, empfiehlt Databricks die Verwendung von kurzlebigen Token für eine stärkere Sicherheit.

Legen Sie maxTokenLifetimeDays auf die maximale Tokengültigkeitsdauer neuer Token in Tagen (als ganze Zahl) fest. Wenn Sie sie auf 0 (null) festlegen, können neue Token eine unbeschränkte Gültigkeitsdauer haben. Zum Beispiel:

Databricks-Befehlszeilenschnittstelle

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

Arbeitsbereichskonfigurations-API

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Informationen zur Verwendung des Databricks Terraform-Anbieters zum Verwalten der maximalen Lebensdauer für neue Token in einem Arbeitsbereich finden Sie unter databricks_workspace_conf Ressource.

Überwachen und Widerrufen von Token

In diesem Abschnitt wird beschrieben, wie Sie die Databricks CLI zum Verwalten vorhandener Token im Arbeitsbereich verwenden. Sie können auch die Tokenverwaltungs-APIverwenden. Databricks widerruft automatisch persönliche Zugriffstoken, die in 90 oder mehr Tagen nicht verwendet wurden.

Token für den Arbeitsbereich abrufen

So rufen Sie die Token des Arbeitsbereichs ab:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Löschen (Widerrufen) eines Tokens

Um ein Token zu löschen, ersetzen Sie TOKEN_ID durch die ID des zu löschenden Tokens:

databricks token-management delete TOKEN_ID