Databricks アカウントでの個人用アクセス トークンの使用状況を評価する

  • [アーティクル]

個人用アクセス トークン (PAT) を使用して Azure Databricks リソースに安全にアクセスするには、個々のアクセス トークンを定期的に取り消す必要があります。 このトピックでは、Azure Databricks ワークスペースで実行するときに、過去 90 日間にローテーションまたは更新されていないすべての個人用アクセス トークン (PAT) を一覧表示して、取り消すことができるようにするノートブックを提供します。

Note

Databricks では、認証には、PAT ではなく OAuth シークレットとアクセス トークンを使用することをお勧めします。 Azure Databricks ワークスペース リソースへのアクセスを認証するために OAuth を使用する方法の詳細については、「OAuth ユーザー対マシン (U2M) 認証」を参照してください。

前提条件

Azure Databricks ワークスペースでこのノートブックを実行するには、Azure Databricks ワークスペースで ID フェデレーションが有効になっている必要があります。 アカウント管理者のアクセス許可がある場合は、次の手順「有効な ID フェデレーション」に従ってユーザーの ID フェデレーションを有効にすることができます。

このノートブックを Automation で使用する場合、または他のユーザーにノートブックを提供して実行させる場合は、サービス プリンシパルを作成します。 アカウント管理者のアクセス許可を新しいサービス プリンシパルに付与し、(コードに示されているように) サービス プリンシパルのクライアント ID とクライアント シークレットをノートブックに追加します。 サービス プリンシパルは、各ワークスペースに管理者特権で自動的に追加されるため、ノートブックを実行してそのワークスペースの PAT を一覧表示できます。 ノートブックを実行した後、サービス プリンシパルを削除します。

Databricks ワークスペース PAT 使用状況のノートブック

次のノートブックを実行し、アカウント内の PAT の状態を確認します。

Databricks アカウントとワークスペースの PAT 使用状況を評価する

ノートブックを入手

次のステップ

Azure Databricks アカウントの PAT 使用状況を評価したら、Databricks では、次の手順でトークンの公開を最小限に抑えるようにすることをお勧めします。

  1. ワークスペースに作成されたすべての新しいトークンの有効期間を短く設定します。 有効期間は 90 日未満にする必要があります。
  2. Azure Databricks ワークスペースの管理者とユーザーと協力して、有効期間が短いトークンに切り替えます。
  3. 有効期間の長いトークンをすべて取り消して、これらの古いトークンが時間の経過と同時に誤用されるリスクを軽減します。 トークンが 90 日以上使用されていない場合、Databricks は Azure Databricks ワークスペースのすべての PAT を自動的に取り消します。

ベスト プラクティス

Automation で Azure Databricks ワークスペースとリソースへの API アクセスを認証するために、Databricks では、サービス プリンシパルと OAuth を使用することをお勧めします。 Databricks では互換性のために PAT が引き続きサポートされていますが、セキュリティ リスクが高いため、認証の推奨メカニズムではなくなりました。