個人のアクセストークンを監視および管理する
Databricks REST API に対して認証するために、ユーザーは個人的なアクセス許可を作成し、それを REST API リクエストで使用できます。 この記事では、ワークスペース管理者がワークスペースで個人のアクセス許可を管理する方法について説明します。
個人用アクセストークンを作成するには, Databricks 個人用アクセストークン認証」を参照してください。
サービスプリンシパルの代わりに個人用アクセストークンを作成するには、 サービスプリンシパルのトークンを管理する」を参照してください。
パーソナルアクセストークン管理の概要
Personal アクセストークンは、すべての Databricks ワークスペースに対して既定で有効になります。
ワークスペースで個人アクセス ウイルスが有効になっている場合、CAN USE 権限を持つユーザーは、Databricks REST APIsにアクセスするための個人アクセス ウイルスを生成でき、無期限などの任意の有効期限でこれらのトークンを生成できます。 デフォルトでは、管理者以外のワークスペース ユーザーは CAN USE 権限を持っていません。つまり、ユーザーは個人的なアクセスを作成または使用できません。
Databricksワークスペース管理者は、ワークスペースの個人アクセストークンの無効化、トークンの監視と取り消し、管理者以外のどのユーザーがトークンの作成と使用を行えるかを制御し、新しいトークンの最大有効期間を設定することができます。
ワークスペースで個人のアクセスを管理するには、プレミアム プランが必要です。 個人のアクセス権を作成するには、 「Databricks 個人のアクセス権認証」を参照してください。
ワークスペースの個人アクセストークン認証を有効または無効にする
個人用アクセストークン認証は、すべての Databricks ワークスペースに対してデフォルトによって有効になります。 この設定は、ワークスペースの設定ページで変更できます。
ワークスペースの個人アクセストークンが無効になっている場合、個人アクセストークンをDatabricksおよびワークスペースユーザーへの認証に使用することはできず、サービスプリンシパルは新しいトークンを作成できません。ワークスペースの個人アクセストークン認証を無効にしても、トークンは削除されません。後でトークンを再度有効にすると、有効期限が切れていないトークンは使用できるようになります。
ユーザーのサブセットのトークン アクセスを無効にする場合は、ワークスペースに対して個人用アクセストークン認証を有効にしたままにし、ユーザーとグループに対してきめ細かなアクセス許可を設定できます。 トークンを作成および使用できるユーザーを制御する」を参照してください。
警告
Partner Connect、パートナー統合、およびサービスプリンシパルは、ワークスペースで有効にするために個人アクセストークンが必要です。
ワークスペースの個人アクセストークンを作成および使用する機能を無効にするには、次の手順を実行します:
設定ページに移動します。
「 詳細設定 」タブをクリックします。
[パーソナルアクセストークン]トグルをクリックします。
[確認]をクリックします。
この変更が有効になるまで数秒かかる場合があります。
ワークスペース構成 APIを使用して、ワークスペースの個人アクセス許可を無効にすることもできます。
誰がトークンを作成および使用できるかを制御する
ワークスペース管理者は、個人用アクセストークンにアクセス許可を設定して、トークンを作成および使用できるユーザー、サービスプリンシパル、およびグループを制御できます。個人アクセストークンのアクセス許可を構成する方法の詳細については、「Databricksオートメーションへのアクセスの管理」を参照してください。
新しいトークンの最大有効期間を設定する
Databricks CLIを使用して、ワークスペース内の新しいトークンの最大有効期間を管理できます。 この制限は、新しいトークンにのみ適用されます。
maxTokenLifetimeDays
を、新しいトークンの最長有効期間 (日単位) に整数で設定します。 これをゼロに設定すると、新しいトークンには有効期間の制限がなく許可されます。 例えば:
databricks workspace-conf set-status --json '{
"maxTokenLifetimeDays": "90"
}'
ワークスペース構成 APIを使用して、ワークスペース内の新しいトークンの最大有効期間を管理することもできます。
トークンの監視と取り消し
このセクションでは、 Databricks CLI を使用してワークスペース内の既存のトークンを管理する方法について説明します。 トークン管理 APIを使用することもできます。
ワークスペースのトークンを取得してください
ワークスペースのトークンを取得するには:
databricks token-management list
フラグ created-by-id
(ユーザー ID でフィルタリングする場合) または created-by-username
(ユーザー名でフィルタリングする場合) を使用して、ユーザーで結果をフィルタリングできます。
例:
databricks token-management list --created-by-username user@company.com
応答例:
ID Created By Comment
token-id user@company.com dev