Ocena użycia osobistego tokenu dostępu na koncie usługi Databricks
Bezpieczny dostęp do zasobów usługi Azure Databricks przy użyciu osobistych tokenów dostępu (PATs) wymaga regularnego odwołwania poszczególnych tokenów dostępu. Ten temat zawiera notes, który po uruchomieniu w obszarze roboczym usługi Azure Databricks zawiera listę wszystkich osobistych tokenów dostępu (PATs), które nie zostały obrócone lub zaktualizowane w ciągu ostatnich 90 dni, aby można je było odwołać.
Uwaga
Usługa Databricks zaleca używanie wpisów tajnych protokołu OAuth i tokenów dostępu do uwierzytelniania, a nie paTs. Aby uzyskać więcej informacji na temat używania protokołu OAuth do uwierzytelniania dostępu do zasobów obszaru roboczego usługi Azure Databricks, zobacz Uwierzytelnianie dostępu do usługi Azure Databricks przy użyciu konta użytkownika przy użyciu protokołu OAuth (OAuth U2M).
Wymagania wstępne
Aby uruchomić ten notes w obszarze roboczym usługi Azure Databricks, musisz mieć włączoną federację tożsamości dla obszaru roboczego usługi Azure Databricks. Jeśli masz uprawnienia administratora konta, możesz włączyć federację tożsamości dla użytkownika, wykonując następujące instrukcje: Włączanie federacji tożsamości.
Jeśli chcesz użyć tego notesu w automatyzacji lub udostępnić go innym użytkownikom, aby go uruchomić, utwórz jednostkę usługi. Udziel administratorowi konta uprawnienia do nowej jednostki usługi i dodaj identyfikator klienta jednostki usługi i klucz tajny klienta do notesu (zgodnie z opisem w kodzie). Jednostka usługi jest automatycznie dodawana z uprawnieniami administratora do każdego obszaru roboczego, aby można było uruchomić notes, aby wyświetlić listę paT dla tego obszaru roboczego. Po uruchomieniu notesu usuń jednostkę usługi.
Notes użycia pat obszaru roboczego usługi Databricks
Uruchom następujący notes i przejrzyj stan pats na twoim koncie:
Ocena użycia pat dla konta i obszarów roboczych usługi Databricks
Następne kroki
Po dokonaniu oceny użycia tokenu pat dla konta usługi Azure Databricks usługa Databricks zaleca zminimalizowanie ekspozycji tokenu przy użyciu następujących kroków:
- Ustaw krótki okres istnienia dla wszystkich nowych tokenów utworzonych w obszarach roboczych. Okres istnienia powinien być krótszy niż 90 dni.
- Współpracuj z administratorami obszarów roboczych usługi Azure Databricks i użytkownikami, aby przełączyć się na te tokeny z krótszym okresem istnienia.
- Odwołaj wszystkie długotrwałe tokeny, aby zmniejszyć ryzyko nieprawidłowego użycia tych starszych tokenów w czasie. Usługa Databricks automatycznie odwołuje wszystkie pakiety PAT dla obszarów roboczych usługi Azure Databricks, gdy token nie został użyty w ciągu 90 lub więcej dni.
Najlepsze rozwiązania
Aby uwierzytelnić dostęp interfejsu API do obszarów roboczych i zasobów usługi Azure Databricks w usłudze Automation, usługa Databricks zaleca użycie jednostki usługi i protokołu OAuth. Mimo że usługa Databricks nadal obsługuje usługi PAT pod kątem zgodności, nie są już preferowanym mechanizmem uwierzytelniania ze względu na większe ryzyko bezpieczeństwa.