Avaliar o uso do token de acesso pessoal em sua conta do Databricks

  • Artigo

O acesso seguro aos recursos do Azure Databricks com PATs (tokens de acesso pessoal) exige a revogação regular de tokens de acesso individuais. Este tópico fornece um notebook que, quando executado no workspace do Azure Databricks, lista todos os PATs (tokens de acesso pessoal) que não foram girados ou atualizados nos últimos 90 dias para que você possa revogá-los.

Observação

O Databricks recomenda o uso de segredos OAuth e tokens de acesso para autenticação em vez de PATs. Para obter mais detalhes sobre como usar o OAuth para autenticar o acesso aos recursos do workspace do Azure Databricks, consulte Autenticar o acesso ao Azure Databricks com uma conta de usuároi utilizando OAuth (OAuth U2M).

Pré-requisitos

Para executar esse notebook no workspace do Azure Databricks, é necessário ter a federação de identidades habilitada para o workspace do Azure Databricks. Quando você tem permissões de administrador de conta, pode habilitar a federação de identidades para um usuário seguindo estas instruções: Habilitar federação de identidades.

Se você quiser usar esse notebook na automação ou fornecê-lo a outros usuários para executá-lo, crie uma entidade de serviço. Conceda permissão de administrador de conta à nova entidade de serviço e adicione a ID do cliente e o segredo do cliente da entidade de serviço ao notebook (conforme indicado no código). A entidade de serviço é adicionada automaticamente com privilégios de administrador a cada workspace para que o notebook seja executado para exibir os PATs desse workspace. Após a execução do notebook, exclua a entidade de serviço.

Notebook de uso do PAT do workspace do Databricks

Execute o seguinte notebook e examine o estado dos PATs na conta:

Avaliar o uso do PAT para a conta e workspaces do Databricks

Obter notebook

Próximas etapas

Depois de avaliar o uso do PAT da conta do Azure Databricks, o Databricks recomenda que você minimize a exposição do token com as seguintes etapas:

  1. Defina um tempo de vida curto para todos os novos tokens criados nos workspaces. O tempo de vida deve ser inferior a 90 dias.
  2. Colabore com os administradores e usuários do workspace do Azure Databricks para alternar para esses tokens com tempos de vida mais curtos.
  3. Revogue todos os tokens de longa duração para reduzir o risco de uso indevido desses tokens mais antigos ao longo do tempo. O Databricks revoga automaticamente os PATs para seus workspaces do Databricks quando o token não é usado em 90 dias ou mais.

Práticas recomendadas

Para autenticar o acesso à API aos workspaces e recursos do Azure Databricks na automação, o Databricks recomenda que você use uma entidade de serviço e o OAuth. Embora o Databricks ainda dê suporte a PATs para compatibilidade, eles não são mais um mecanismo preferencial para autenticação devido ao maior risco de segurança.