Databricksアカウントでの個人用アクセストークンの使用状況を評価する

個人用アクセストークン (PAT) を使用して Databricks リソースに安全にアクセスするには、個々のアクセストークンを定期的に取り消す必要があります。 このトピックでは、 Databricks ワークスペースで実行するときに、過去 90 日間にローテーションまたは更新されていないすべての個人用アクセストークン (PAT) を一覧表示して、それらを取り消すことができるノートブックを提供します。

注:

Databricks では、認証には PAT ではなく、 OAuth シークレットとアクセストークンを使用することをお勧めします。 OAuth を使用して Databricks ワークスペース リソースへのアクセスを認証する方法の詳細については、「 OAuth を使用してユーザー アカウントで Databricks へのアクセスを認証する (OAuth U2M)」を参照してください。

前提条件

このノートブックを Databricks ワークスペースで実行するには、Databricks ワークスペースで ID フェデレーションが有効になっている必要があります。 アカウント管理者のアクセス許可がある場合は、次の手順に従ってユーザーの ID フェデレーションを有効にできます: ID フェデレーションを有効にする

このノートブックをオートメーションで使用する場合、または他のユーザーに提供して実行する場合は、 サービスプリンシパルを作成します。 新しいサービスプリンシパルにアカウント管理者の権限を付与し、サービスプリンシパルのクライアント ID とクライアント シークレットをノートブックに追加します (コードを参照)。 サービスプリンシパルは、管理者権限で各ワークスペースに自動的に追加されるため、ノートブックを実行してそのワークスペースの PAT を一覧表示できます。 ノートブックを実行した後、サービスプリンシパルを削除します。

Databricks ワークスペース PAT 使用状況ノートブック

次のノートブックを実行し、アカウント内の PAT の状態を確認します。

Databricks アカウントとワークスペースの PAT 使用状況を評価する

ノートブックを新しいタブで開く

次のステップ

DatabricksアカウントのPAT使用量を評価したら、次の手順でトークンの露出を最小限に抑えることをDatabricksことをお勧めします。

  1. ワークスペースで作成されたすべての新しいトークンの有効期間を短く設定します。 寿命は 90 日未満である必要があります。

  2. Databricks ワークスペースの管理者やユーザーと協力して、有効期間を短くしたトークンに切り替えます。

  3. これらの古いトークンが時間の経過とともに悪用されるリスクを減らすために、存続期間の長いトークンをすべて取り消します。 Databricks は、トークンが 90 日以上使用されていない場合、Databricks ワークスペースのすべての PAT を自動的に取り消します。

おすすめの方法

APIDatabricks自動化で ワークスペースとリソースへの アクセスを認証するには、Databricks サービスプリンシパルとOAuth を使用することをお勧めします 。Databricksは互換性のためにPATを引き続きサポートしていますが、セキュリティリスクが高いため、認証には推奨されなくなりました。