Google
Cloud Platform
Amazon Web Services
Microsoft AzureMonitorar e gerenciar o acesso a dados pessoais access tokens
Para se autenticar no site Databricks REST APIum usuário pode criar um access token pessoal e usá-lo em sua solicitação REST API . Um usuário também pode criar uma entidade de serviço e usá-la com tokens de acesso pessoal para chamar Databricks REST APIs em suas ferramentas e automação CI/CD. Este artigo explica como os administradores do Databricks workspace podem gerenciar esses access tokens em seus workspace.
Para criar um OAuth access token (em vez de um PAT) para usar com uma entidade de serviço em automação, consulte Usar uma entidade de serviço para autenticar com Databricks (OAuth M2M).
Uso de access tokens (PATs) pessoais em vez de OAuth para acesso ao Databricks
Databricks recomenda que o senhor use o site OAuth access tokens em vez de PATs para maior segurança e conveniência. Databricks continua a oferecer suporte a PATs, mas, devido ao seu maior risco de segurança, sugere que o senhor audite o uso atual de PATs em sua conta e migre seus usuários e entidades de serviço para OAuth access tokens.
Visão geral do gerenciamento de token de acesso pessoal
Observação
A documentação a seguir aborda o uso de PATs para clientes que ainda não migraram seu código para usar o OAuth. Para avaliar o uso de PATs pela sua organização e planejar uma migração de PATs para OAuth access tokens, consulte Avaliar o uso pessoal de access token na sua empresa Databricks account .
O access tokens pessoal é ativado pelo default para todos os espaços de trabalho do Databricks.
Quando o access tokens pessoal está habilitado em um workspace, os usuários com a permissão CAN USE podem gerar access tokens pessoal para acessar Databricks REST APIs, e podem gerar esses tokens com qualquer data de expiração que desejarem, inclusive uma vida útil indefinida. Em default, nenhum usuário não administrador workspace tem a permissão CAN USE, o que significa que ele não pode criar ou usar access tokens pessoais.
Como administrador do workspace do Databricks, você pode desabilitar tokens de acesso pessoal para um workspace, monitorar e revogar tokens, controlar quais usuários não administradores podem criar tokens e usar tokens e definir um tempo de vida máximo para novos tokens.
O gerenciamento do access tokens pessoal em seu workspace requer o plano Premium. Para criar um access token pessoal, consulte Databricks personal access token authentication.
Ativar ou desativar a autenticação de token de acesso pessoal para o workspace
A autenticação pessoal access token é ativada por default para todos os espaços de trabalho Databricks. O senhor pode alterar essa configuração na página de configurações workspace.
Quando os tokens de acesso pessoal são desabilitados para um workspace, os tokens de acesso pessoal não podem ser usados para autenticar no Databricks e os usuários do workspace e entidades de serviço não podem criar novos tokens. Nenhum token é excluído quando você desabilita a autenticação de token de acesso pessoal para um workspace. Se os tokens forem reativados posteriormente, todos os tokens não expirados estarão disponíveis para uso.
Se quiser desativar o acesso a tokens para um subconjunto de usuários, o senhor pode manter a autenticação pessoal access token ativada para workspace e definir permissões refinadas para usuários e grupos. Consulte Controlar quem pode criar e usar tokens.
Aviso
O Partner Connect, as integrações de parceiros e os principais de serviços exigem que tokens de acesso pessoal sejam habilitados em um workspace.
Para desativar a capacidade de criar e usar tokens de acesso pessoal para o workspace:
Vá para a página de configurações.
Clique em Advanced tab.
Clique na alavanca Tokens de acesso pessoal .
Clique em Confirmar.
Essa alteração pode levar alguns segundos para entrar em vigor.
O senhor também pode usar a configuraçãoworkspace APIpara desativar o access tokens pessoal para o workspace.
Controlar quem pode criar e usar tokens
workspace Os administradores podem definir permissões no access tokens pessoal para controlar quais usuários, entidades de serviço e grupos podem criar e usar o tokens. Para obter detalhes sobre como configurar as permissões pessoais de access token, consulte gerenciar permissões pessoais de access token .
Definir a vida útil máxima dos novos tokens
O senhor pode gerenciar a vida útil máxima do novo tokens em seu workspace usando o Databricks CLI ou a configuração do espaço de trabalho API. Esse limite se aplica somente a novos tokens.
Databricks revoga automaticamente o site access tokens que não foi usado por 90 dias ou mais. Devido a essa política, defina o tempo de vida dos tokens como 90 dias ou menos.
Defina maxTokenLifetimeDays como o tempo máximo de vida dos tokens do novo tokens em dias, como um número inteiro. Se o senhor definir esse valor como zero, os novos tokens não poderão ter limite de tempo de vida. Por exemplo:
databricks workspace-conf set-status --json '{
"maxTokenLifetimeDays": "90"
}'
curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
-d '{
"maxTokenLifetimeDays": "90"
}'
Para usar o provedor Databricks Terraform para gerenciar o tempo de vida máximo para novos tokens em um workspace, consulte o recurso de espaço de trabalho.
Monitorar e revogar tokens
Esta seção descreve como usar o Databricks CLI para gerenciar o site tokens existente no site workspace. O senhor também pode usar os tokens Management API.
Obter tokens para o workspace
Para obter o workspace's tokens:
from databricks.sdk import WorkspaceClient
w = WorkspaceClient()
spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')
display(spark.sql('select * from tokens order by creation_time'))
# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list
Revogação automática de antigos access tokens
Databricks revogará automaticamente os PATs do seu espaço de trabalho Databricks quando os tokens não forem usados em 90 dias ou mais. Como prática recomendada, audite regularmente os PATs em seu site Databricks account e remova os não utilizados antes que sejam automaticamente revogados. Importe e execute o Notebook fornecido na seção Assess personal access token usage in your Databricks accountpara determinar o número de PATs não expirados no site de sua organização Databricks account.
Databricks recomenda que o senhor configure o Databricks account da sua organização para usar o OAuth tokenspara autenticação de acesso, em vez de PATs, para maior segurança e facilidade de uso.