Supervisión y revocación de tokens de acceso personal

  • Artículo

Para autenticarse en la API REST de Azure Databricks, un usuario puede crear un token de acceso personal (PAT) y usarlo en su solicitud de API REST. Un usuario también puede crear una entidad de servicio y usarla con un token de acceso personal para llamar a las API rest de Azure Databricks en sus herramientas de CI/CD y automatización. En este artículo se explica cómo los administradores de Azure Databricks pueden administrar tokens de acceso personal en su área de trabajo. Para crear un token de acceso personal, consulte Autenticación de token de acceso personal de Azure Databricks.

Uso de OAuth en lugar de tokens de acceso personal

Databricks recomienda usar tokens de acceso de OAuth en lugar de PAT para mayor seguridad y comodidad. Databricks sigue admitiendo PAT, pero debido a su mayor riesgo de seguridad, se recomienda auditar el uso actual de PAT de su cuenta y migrar los usuarios y entidades de servicio a tokens de acceso de OAuth. Para crear un token de acceso de OAuth (en lugar de un PAT) para usarlo con una entidad de servicio en automatización, consulte Autenticación del acceso a Azure Databricks con una entidad de servicio mediante OAuth (OAuth M2M).

Databricks recomienda minimizar la exposición del token de acceso personal con los pasos siguientes:

  1. Establezca una duración corta para todos los tokens nuevos creados en las áreas de trabajo. La duración debe ser inferior a 90 días.
  2. Trabaja con los administradores y usuarios del área de trabajo de Azure Databricks para cambiar a esos tokens con una duración más corta.
  3. Revoca todos los tokens de larga duración para reducir el riesgo de que estos tokens más antiguos se utilicen incorrectamente con el tiempo. Databricks revoca automáticamente los tokens de acceso personal que no se han usado en 90 o más días.

Para evaluar el uso de los PAT en su propia organización y planear una migración de PAT a tokens de acceso de OAuth, consulte Evaluación del uso de tokens de acceso personal en su cuenta de Databricks.

Requisitos

  • Debe ser administrador del área de trabajo de Azure Databricks para deshabilitar los tokens de acceso personal para un área de trabajo, supervisar y revocar tokens, controlar qué usuarios que no son administradores pueden crear tokens y usar tokens y establecer una duración máxima para los nuevos tokens.
  • El área de trabajo de Azure Databricks debe estar en el plan Premium.

Habilitación o deshabilitación de la autenticación de tokens de acceso personal para el área de trabajo

La autenticación de tokens de acceso personal está habilitada de manera predeterminada para todas las áreas de trabajo de Azure Databricks que se crearon en 2018 o posteriormente. Puedes cambiar esta configuración en la página de configuración del área de trabajo.

Cuando los tokens de acceso personal están deshabilitados para un área de trabajo, no se pueden usar para autenticarse en Azure Databricks, y los usuarios y entidades de servicio del área de trabajo no pueden crear nuevos tokens. Los tokens no se eliminan al deshabilitar la autenticación de tokens de acceso personal para un área de trabajo. Si los tokens se vuelven a habilitar más adelante, los tokens que no hayan expirados estarán disponibles para su uso.

Si desea deshabilitar el acceso a tokens para un subconjunto de usuarios, puede mantener habilitada la autenticación de tokens de acceso personal para el área de trabajo y establecer permisos específicos para usuarios y grupos. Consulte Control quién puede crear y usar tokens de acceso personal.

Advertencia

Las integraciones de partner y Partner Connect requieren que los tokens de acceso personal estén habilitados en un área de trabajo.

Para deshabilitar la capacidad de crear y usar tokens de acceso personal para el área de trabajo:

  1. Vaya a la página Configuración.

  2. Haga clic en la pestaña Opciones avanzadas.

  3. Haga clic en el botón de alternancia Tokens de acceso personal.

  4. Haga clic en Confirmar.

    Este cambio puede tardar unos segundos en surtir efecto.

También puede usar la API de configuración del área de trabajo para deshabilitar los tokens de acceso personal para el área de trabajo.

Controlar quién puede crear y usar tokens de acceso personal

Los administradores del área de trabajo pueden establecer permisos en los tokens de acceso personales para controlar qué usuarios, entidades de servicio y grupos pueden crear y usar tokens. Para obtener más información sobre cómo configurar permisos de token de acceso personal, consulte Administración de permisos de token de acceso personal.

Establecer la duración máxima de los nuevos tokens de acceso personal

Puede administrar la duración máxima de los nuevos tokens en el área de trabajo mediante la CLI de Databricks o la API de configuración del área de trabajo. Este límite solo se aplica a los nuevos tokens.

Nota:

Databricks revoca automáticamente los tokens de acceso personal sin usar durante 90 o más días. Databricks no revocará tokens con duraciones superiores a 90 días, siempre y cuando los tokens se usen activamente.

Como procedimiento recomendado de seguridad, Databricks recomienda el uso de tokens de OAuth a través de PAT. Si va a realizar la transición de la autenticación de PAT a OAuth, Databricks recomienda usar tokens de corta duración para mejorar la seguridad.

Establezca el valor maxTokenLifetimeDays en la duración máxima de los nuevos tokens en días, como un entero. Si lo establece en cero, se permite que los nuevos tokens no tengan ningún límite de duración. Por ejemplo:

CLI de Databricks

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

API de configuración del área de trabajo

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Para usar el proveedor de Terraform de Databricks para administrar la duración máxima de los nuevos tokens en un área de trabajo, consulte Recurso databricks_workspace_conf.

Supervisión y revocación de tokens

En esta sección se describe cómo usar laCLI de Databricks para administrar los tokens existentes en el área de trabajo. También puede usar la API de administración de tokens. Databricks revoca automáticamente los tokens de acceso personal que no se han usado en 90 o más días.

Obtener tokens para el área de trabajo

Para obtener los tokens del área de trabajo:

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

Eliminación (revocación) de un token

Para eliminar un token, reemplace TOKEN_ID por el identificador del token que se va a eliminar:

databricks token-management delete TOKEN_ID