個人用アクセストークンの監視と管理
Databricks REST APIに認証するには、ユーザーは個人用アクセストークンを作成し、それをREST APIリクエストで使用できます。 この記事では、ワークスペース管理者がワークスペース内の個人用アクセストークンを管理する方法について説明します。
個人用アクセストークンを作成するには, Databricks 個人用アクセストークン認証」を参照してください。
サービスプリンシパルの代わりに個人用アクセストークンを作成するには、 サービスプリンシパルのトークンを管理する」を参照してください。
パーソナルアクセストークン管理の概要
個人用アクセストークンは、すべてのDatabricksワークスペースに対してデフォルトで有効になります。
ワークスペースで個人用アクセス トークンが有効になっている場合、CAN USE 権限を持つユーザーは、 Databricks REST APIsにアクセスするための個人用アクセス トークンを生成できます。また、無期限の有効期間を含む任意の有効期限でこれらのトークンを生成できます。 デフォルトでは、管理者以外のワークスペース ユーザーに CAN USE 権限がないため、個人用のアクセストークンを作成したり使用したりすることはできません。
Databricksワークスペース管理者は、ワークスペースの個人用アクセストークンの無効化、トークンの監視と取り消し、管理者以外のどのユーザーがトークンの作成と使用を行えるかを制御し、新しいトークンの最大有効期間を設定することができます。
ワークスペースで個人用アクセストークンを管理するには、プレミアム プランが必要です。 個人用アクセストークンを作成するには、 Databricks個人用アクセストークン認証」を参照してください。
ワークスペースの個人用アクセストークン認証を有効または無効にする
個人用アクセストークン認証は、すべてのDatabricksワークスペースに対してデフォルトで有効になっています。 この設定はワークスペース設定ページで変更できます。
ワークスペースの個人用アクセストークンが無効になっている場合、個人用アクセストークンをDatabricksおよびワークスペースユーザーへの認証に使用することはできず、サービスプリンシパルは新しいトークンを作成できません。ワークスペースの個人用アクセストークン認証を無効にしても、トークンは削除されません。後でトークンを再度有効にすると、有効期限が切れていないトークンは使用できるようになります。
ユーザーのサブセットのトークン アクセスを無効にする場合は、ワークスペースに対して個人用アクセストークン認証を有効にしたままにし、ユーザーとグループに対してきめ細かなアクセス許可を設定できます。 トークンを作成および使用できるユーザーを制御する」を参照してください。
警告
Partner Connect、パートナー統合、およびサービスプリンシパルは、ワークスペースで有効にするために個人用アクセストークンが必要です。
ワークスペースの個人用アクセストークンを作成および使用する機能を無効にするには、次の手順を実行します:
設定ページに移動します。
[詳細設定]タブをクリックします。
[パーソナルアクセストークン]トグルをクリックします。
[確認]をクリックします。
この変更が有効になるまで数秒かかる場合があります。
ワークスペース構成APIを使用して、ワークスペースの個人用アクセストークンを無効にすることもできます。
誰がトークンを作成および使用できるかを制御する
ワークスペース管理者は、個人用アクセストークンにアクセス許可を設定して、トークンを作成および使用できるユーザー、サービスプリンシパル、およびグループを制御できます。個人用アクセストークンのアクセス許可を構成する方法の詳細については、「Databricksオートメーションへのアクセスの管理」を参照してください。
新しいトークンの最大有効期間を設定する
Databricks CLIを使用して、ワークスペース内の新しいトークンの最大有効期間を管理できます。 この制限は新しいトークンにのみ適用されます。
maxTokenLifetimeDays
を、新しいトークンの最大トークン有効期間 (日数) の整数に設定します。 ゼロに設定すると、新しいトークンに有効期間の制限がなくなります。 例えば:
databricks workspace-conf set-status --json '{
"maxTokenLifetimeDays": "90"
}'
ワークスペース構成APIを使用して、ワークスペース内の新しいトークンの最大有効期間を管理することもできます。
トークンの監視と取り消し
このセクションでは、Databricks CLIを使用してワークスペース内の既存のトークンを管理する方法について説明します。 トークン管理 APIを使用することもできます。
ワークスペースのトークンを取得してください
ワークスペースのトークンを取得するには:
databricks token-management list
フラグ created-by-id
(ユーザー ID でフィルタリングする場合) または created-by-username
(ユーザー名でフィルタリングする場合) を使用して、ユーザーで結果をフィルタリングできます。
例:
databricks token-management list --created-by-username user@company.com
応答例:
ID Created By Comment
token-id user@company.com dev