個人用アクセストークンの監視と管理

Databricks REST APIに認証するには、ユーザーは個人用アクセストークンを作成し、それをREST APIリクエストで使用できます。 この記事では、ワークスペース管理者がワークスペース内の個人用アクセストークンを管理する方法について説明します。

個人用アクセストークンを作成するには, Databricks 個人用アクセストークン認証」を参照してください。

サービスプリンシパルの代わりに個人用アクセストークンを作成するには、 サービスプリンシパルのトークンを管理する」を参照してください。

パーソナルアクセストークン管理の概要

個人用アクセストークンは、すべてのDatabricksワークスペースに対してデフォルトで有効になります。

ワークスペースで個人用アクセス トークンが有効になっている場合、CAN USE 権限を持つユーザーは、 Databricks REST APIsにアクセスするための個人用アクセス トークンを生成できます。また、無期限の有効期間を含む任意の有効期限でこれらのトークンを生成できます。 デフォルトでは、管理者以外のワークスペース ユーザーに CAN USE 権限がないため、個人用のアクセストークンを作成したり使用したりすることはできません。

Databricksワークスペース管理者は、ワークスペースの個人用アクセストークンの無効化、トークンの監視と取り消し、管理者以外のどのユーザーがトークンの作成と使用を行えるかを制御し、新しいトークンの最大有効期間を設定することができます。

ワークスペースで個人用アクセストークンを管理するには、プレミアム プランが必要です。 個人用アクセストークンを作成するには、 Databricks個人用アクセストークン認証」を参照してください。

ワークスペースの個人用アクセストークン認証を有効または無効にする

個人用アクセストークン認証は、すべてのDatabricksワークスペースに対してデフォルトで有効になっています。 この設定はワークスペース設定ページで変更できます。

ワークスペースの個人用アクセストークンが無効になっている場合、個人用アクセストークンをDatabricksおよびワークスペースユーザーへの認証に使用することはできず、サービスプリンシパルは新しいトークンを作成できません。ワークスペースの個人用アクセストークン認証を無効にしても、トークンは削除されません。後でトークンを再度有効にすると、有効期限が切れていないトークンは使用できるようになります。

ユーザーのサブセットのトークン アクセスを無効にする場合は、ワークスペースに対して個人用アクセストークン認証を有効にしたままにし、ユーザーとグループに対してきめ細かなアクセス許可を設定できます。 トークンを作成および使用できるユーザーを制御する」を参照してください。

警告

Partner Connectパートナー統合、およびサービスプリンシパルは、ワークスペースで有効にするために個人用アクセストークンが必要です。

ワークスペースの個人用アクセストークンを作成および使用する機能を無効にするには、次の手順を実行します:

  1. 設定ページに移動します。

  2. [詳細設定]タブをクリックします。

  3. [パーソナルアクセストークン]トグルをクリックします。

  4. [確認]をクリックします。

    この変更が有効になるまで数秒かかる場合があります。

ワークスペース構成APIを使用して、ワークスペースの個人用アクセストークンを無効にすることもできます。

誰がトークンを作成および使用できるかを制御する

ワークスペース管理者は、個人用アクセストークンにアクセス許可を設定して、トークンを作成および使用できるユーザー、サービスプリンシパル、およびグループを制御できます。個人用アクセストークンのアクセス許可を構成する方法の詳細については、「Databricksオートメーションへのアクセスの管理」を参照してください。

新しいトークンの最大有効期間を設定する

Databricks CLIを使用して、ワークスペース内の新しいトークンの最大有効期間を管理できます。 この制限は新しいトークンにのみ適用されます。

maxTokenLifetimeDaysを、新しいトークンの最大トークン有効期間 (日数) の整数に設定します。 ゼロに設定すると、新しいトークンに有効期間の制限がなくなります。 例えば:

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

ワークスペース構成APIを使用して、ワークスペース内の新しいトークンの最大有効期間を管理することもできます。

トークンの監視と取り消し

このセクションでは、Databricks CLIを使用してワークスペース内の既存のトークンを管理する方法について説明します。 トークン管理 APIを使用することもできます。

ワークスペースのトークンを取得してください

ワークスペースのトークンを取得するには:

databricks token-management list

フラグ created-by-id (ユーザー ID でフィルタリングする場合) または created-by-username (ユーザー名でフィルタリングする場合) を使用して、ユーザーで結果をフィルタリングできます。

例:

databricks token-management list --created-by-username user@company.com

応答例:

ID  Created By  Comment
token-id  user@company.com dev

トークンを削除(取り消し)する

トークンを削除するには、トークンを削除対象のトークンの ID に置き換えます。

databricks token-management delete TOKEN_ID