Databricksアカウントでの個人用アクセストークンの使用状況を評価する
個人用アクセストークン (PAT) を使用して Databricks リソースに安全にアクセスするには、個々のアクセストークンを定期的に取り消す必要があります。 このトピックでは、 Databricks ワークスペースで実行するときに、過去 90 日間にローテーションまたは更新されていないすべての個人用アクセストークン (PAT) を一覧表示して、それらを取り消すことができるノートブックを提供します。
注:
Databricks では、認証には PAT ではなく、 OAuth シークレットとアクセストークンを使用することをお勧めします。 OAuth を使用して Databricks ワークスペース リソースへのアクセスを認証する方法の詳細については、「 OAuth を使用してユーザー アカウントで Databricks へのアクセスを認証する (OAuth U2M)」を参照してください。
前提条件
このノートブックを Databricks ワークスペースで実行するには、Databricks ワークスペースで ID フェデレーションが有効になっている必要があります。 アカウント管理者のアクセス許可がある場合は、次の手順に従ってユーザーの ID フェデレーションを有効にできます: ID フェデレーションを有効にする。
このノートブックをオートメーションで使用する場合、または他のユーザーに提供して実行する場合は、 サービスプリンシパルを作成します。 新しいサービスプリンシパルにアカウント管理者の権限を付与し、サービスプリンシパルのクライアント ID とクライアント シークレットをノートブックに追加します (コードを参照)。 サービスプリンシパルは、管理者権限で各ワークスペースに自動的に追加されるため、ノートブックを実行してそのワークスペースの PAT を一覧表示できます。 ノートブックを実行した後、サービスプリンシパルを削除します。
次のステップ
DatabricksアカウントのPAT使用量を評価したら、次の手順でトークンの露出を最小限に抑えることをDatabricksことをお勧めします。
ワークスペースで作成されたすべての新しいトークンの有効期間を短く設定します。 寿命は 90 日未満である必要があります。
Databricks ワークスペースの管理者やユーザーと協力して、有効期間を短くしたトークンに切り替えます。
これらの古いトークンが時間の経過とともに悪用されるリスクを減らすために、存続期間の長いトークンをすべて取り消します。 Databricks は、トークンが 90 日以上使用されていない場合、Databricks ワークスペースのすべての PAT を自動的に取り消します。
おすすめの方法
APIDatabricks自動化で ワークスペースとリソースへの アクセスを認証するには、Databricks サービスプリンシパルとOAuth を使用することをお勧めします 。Databricksは互換性のためにPATを引き続きサポートしていますが、セキュリティリスクが高いため、認証には推奨されなくなりました。