개인 액세스 토큰에 대한 액세스 모니터링 및 관리

  • 아티클

Azure Databricks REST API에 인증하기 위해 사용자는 개인용 액세스 토큰을 만들고 REST API 요청에 사용할 수 있습니다. 또한 사용자는 서비스 주체를 만들고 개인용 액세스 토큰과 함께 사용하여 CI/CD 도구 및 자동화에서 Azure Databricks REST API를 호출할 수 있습니다. 이 문서에서는 Azure Databricks 작업 영역 관리자가 작업 영역에서 이러한 액세스 토큰을 관리하는 방법을 설명합니다.

자동화에서 서비스 주체와 함께 사용할 OAuth 액세스 토큰(PAT 대신)을 만들려면 OAuth(OAuth M2M)를 사용하여 서비스 주체로 Azure Databricks에 대한 액세스 인증을 참조하세요.

Azure Databricks에 액세스하기 위해 OAuth 대신 PAT(개인용 액세스 토큰) 사용

Databricks에서는 보안 및 편의성을 높이기 위해 PAT 대신 OAuth 액세스 토큰을 사용하는 것이 좋습니다. Databricks는 계속해서 PAT를 지원하지만 더 큰 보안 위험으로 인해 계정의 현재 PAT 사용을 감사하고 사용자 및 서비스 주체를 OAuth 액세스 토큰으로 마이그레이션하는 것이 좋습니다.

PAT(개인용 액세스 토큰) 관리 개요

참고 항목

다음 설명서에서는 코드를 마이그레이션하지 않은 고객이 OAuth를 대신 사용하도록 PAT를 사용하는 방법을 설명합니다. 자체 조직의 PAT 사용량을 평가하고 PAT에서 OAuth 액세스 토큰으로의 마이그레이션을 계획하려면 Databricks 계정에서 개인용 액세스 토큰 사용량 평가를 참조하세요.

개인용 액세스 토큰은 2018년 이후에 만들어진 모든 Azure Databricks 작업 영역에서 기본적으로 사용하도록 설정됩니다.

개인용 액세스 토큰이 작업 영역에서 활성화되면 CAN USE 권한이 있는 사용자는 개인용 액세스 토큰을 생성하여 Azure Databricks REST API에 액세스할 수 있으며 무기한 수명을 포함하여 원하는 만료 날짜로 이러한 토큰을 생성할 수 있습니다. 기본적으로 관리자가 아닌 작업 영역 사용자에는 CAN USE 권한이 없으므로 개인용 액세스 토큰을 만들거나 사용할 수 없습니다.

Azure Databricks 작업 영역 관리자는 작업 영역에 대한 개인용 액세스 토큰을 사용하지 않도록 설정하고, 토큰을 모니터링 및 해지하고, 관리자가 아닌 사용자가 토큰을 만들고 토큰을 사용할 수 있도록 제어하고, 새 토큰의 최대 수명을 설정할 수 있습니다.

작업 영역에서 개인용 액세스 토큰을 관리하려면 프리미엄 플랜이 필요합니다. 개인용 액세스 토큰을 만들려면 Azure Databricks 개인용 액세스 토큰 인증을 참조하세요.

작업 영역에 대한 개인용 액세스 토큰 인증 사용 또는 사용 안 함

개인용 액세스 토큰 인증은 2018년 이후에 만들어진 모든 Azure Databricks 작업 영역에서 기본적으로 사용하도록 설정됩니다. 작업 영역 설정 페이지에서 이 설정을 변경할 수 있습니다.

작업 영역에 개인용 액세스 토큰을 사용하지 않도록 설정한 경우 개인용 액세스 토큰을 사용하여 Azure Databricks에 인증할 수 없으며 작업 영역 사용자 및 서비스 주체는 새 토큰을 만들 수 없습니다. 작업 영역에 대한 개인용 액세스 토큰 인증을 사용하지 않도록 설정하면 토큰이 삭제되지 않습니다. 나중에 토큰을 다시 사용하도록 설정하면 만료되지 않은 토큰을 사용할 수 있습니다.

일부 사용자에 대해 토큰 액세스를 사용하지 않도록 설정하려는 경우 작업 영역에 대해 개인용 액세스 토큰 인증을 사용하도록 설정한 상태로 유지하고 사용자 및 그룹에 대해 세분화된 권한을 설정할 수 있습니다. 토큰을 만들고 사용할 수 있는 사용자 제어를 참조하세요.

Warning

파트너 연결파트너 통합을 사용하려면 작업 영역에서 개인용 액세스 토큰을 사용하도록 설정해야 합니다.

작업 영역에 대한 개인용 액세스 토큰을 만들고 사용하는 기능을 사용하지 않도록 설정하려면 다음을 수행합니다.

  1. 설정 페이지로 이동합니다.

  2. 고급 탭을 클릭합니다.

  3. 개인용 액세스 토큰 토글을 클릭합니다.

  4. 확인을 클릭합니다.

    이 변경 내용이 적용되는 데 몇 초 정도 걸릴 수 있습니다.

작업 영역 구성 API를 사용하여 작업 영역에 대한 개인용 액세스 토큰을 사용하지 않도록 설정할 수도 있습니다.

토큰을 만들고 사용할 수 있는 사용자 제어

작업 영역 관리자는 개인 액세스 토큰에 대한 권한을 설정하여 토큰을 만들고 사용할 수 있는 사용자, 서비스 주체, 그룹을 제어할 수 있습니다. 개인용 액세스 토큰 권한을 구성하는 방법에 대한 자세한 내용은 개인용 액세스 토큰 권한 관리를 참조하세요.

새 토큰의 최대 수명 설정

Databricks CLI 또는 작업 영역 구성 API를 사용하여 작업 영역에서 새 토큰의 최대 수명을 관리할 수 있습니다. 이 제한은 새 토큰에만 적용됩니다.

Databricks는 90일 이상 사용되지 않은 개인용 액세스 토큰을 자동으로 해지합니다. 이 정책으로 인해 토큰 수명을 90일 이하로 설정합니다.

maxTokenLifetimeDays를 정수인 새 토큰의 최대 토큰 수명(일)으로 설정합니다. 0으로 설정하면 새 토큰에 수명 제한이 없도록 허용됩니다. 예시:

Databricks CLI

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

작업 영역 구성 API

curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
  -d '{
  "maxTokenLifetimeDays": "90"
  }'

Databricks Terraform 공급자를 사용하여 작업 영역에서 새 토큰의 최대 수명을 관리하려면 databricks_workspace_conf 리소스를 참조하세요.

토큰 모니터링 및 해지

이 섹션에서는 Databricks CLI를 사용하여 작업 영역의 기존 토큰을 관리하는 방법을 설명합니다. 토큰 관리 API를 사용할 수도 있습니다.

작업 영역에 대한 토큰 가져오기

작업 영역의 토큰을 가져오려면 다음을 수행합니다.

Python

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()

spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')

display(spark.sql('select * from tokens order by creation_time'))

Bash

# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list

토큰 삭제(철회)

토큰을 삭제하려면 TOKEN_ID를 삭제할 토큰의 ID로 바꿉니다.

databricks token-management delete TOKEN_ID

이전 액세스 토큰 자동 해지

Databricks는 토큰이 90일 이상 사용되지 않은 경우 Azure Databricks 작업 영역에 대한 PAT를 자동으로 해지합니다. 모범 사례로 Azure Databricks 계정의 PAT를 정기적으로 감사하고 사용하지 않은 PAT는 자동으로 해지되기 전에 제거합니다. Databricks 계정의 개인용 액세스 토큰 사용량 평가에 제공된 Notebook을 가져오고 실행하여 조직의 Azure Databricks 계정에서 만료되지 않은 PAT 수를 확인합니다.

Databricks에서는 보안 및 사용 편의성을 높이기 위해 PAT 대신 액세스 인증에 OAuth 토큰을 사용하도록 조직의 Azure Databricks 계정을 구성하는 것이 좋습니다.