Monitorar e revogar dados pessoais access tokens
Para se autenticar no site Databricks REST APIum usuário pode criar um access token (PAT) pessoal e usá-lo em sua solicitação REST API . Um usuário também pode criar uma entidade de serviço e usá-la com um access token pessoal para chamar Databricks REST APIs em suas ferramentas e automação CI/CD. Este artigo explica como os administradores do Databricks podem gerenciar o access tokens pessoal em seu workspace. Para criar um access token pessoal, consulte Databricks personal access token authentication.
Use OAuth em vez de pessoal access tokens
Databricks recomenda que o senhor use o site OAuth access tokens em vez de PATs para maior segurança e conveniência. Databricks continua a oferecer suporte a PATs, mas, devido ao seu maior risco de segurança, sugerimos que o senhor faça uma auditoria do uso atual de PATs no seu accounte migre seus usuários e entidades de serviço para OAuth access tokens. Para criar um OAuth access token (em vez de um PAT) para usar com uma entidade de serviço em automação, consulte Autenticar o acesso a Databricks com uma entidade de serviço usando OAuth (OAuth M2M).
Databricks recomenda que o senhor minimize sua exposição pessoal ao access token com os seguintes passos:
Defina uma vida útil curta para todos os novos tokens criados em seu espaço de trabalho. A vida útil deve ser inferior a 90 dias.
Trabalhe com seus administradores e usuários do Databricks workspace para mudar para aqueles tokens com vida útil mais curta.
Revogue todos os tokens de longa duração para reduzir o risco de uso indevido desses tokens mais antigos ao longo do tempo. Databricks revoga automaticamente o site pessoal access tokens que não tenha sido usado em 90 dias ou mais.
Para avaliar o uso de PATs pela sua organização e planejar uma migração de PATs para OAuth access tokens, consulte Avaliar o uso pessoal de access token na sua empresa Databricks account .
Requisitos
O senhor deve ser um administrador do Databricks workspace para desativar o access tokens pessoal de um workspace, monitorar e revogar o tokens, controlar quais usuários não administradores podem criar tokens e usar o tokens e definir um tempo de vida máximo para o novo tokens.
Seu workspace do Databricks deve estar no plano Premium.
Ativar ou desativar a autenticação de token de acesso pessoal para o workspace
A autenticação pessoal access token é ativada por default para todos os espaços de trabalho Databricks. O senhor pode alterar essa configuração na página de configurações workspace.
Quando os tokens de acesso pessoal são desabilitados para um workspace, os tokens de acesso pessoal não podem ser usados para autenticar no Databricks e os usuários do workspace e entidades de serviço não podem criar novos tokens. Nenhum token é excluído quando você desabilita a autenticação de token de acesso pessoal para um workspace. Se os tokens forem reativados posteriormente, todos os tokens não expirados estarão disponíveis para uso.
Se quiser desativar o acesso a tokens para um subconjunto de usuários, o senhor pode manter a autenticação pessoal access token ativada para workspace e definir permissões refinadas para usuários e grupos. Veja Controle quem pode criar e usar o site pessoal access tokens.
Aviso
O Partner Connect, as integrações de parceiros e os principais de serviços exigem que tokens de acesso pessoal sejam habilitados em um workspace.
Para desativar a capacidade de criar e usar tokens de acesso pessoal para o workspace:
Vá para a página de configurações.
Clique em Advanced tab.
Clique na alavanca Tokens de acesso pessoal .
Clique em Confirmar.
Essa alteração pode levar alguns segundos para entrar em vigor.
O senhor também pode usar a configuraçãoworkspace APIpara desativar o access tokens pessoal para o workspace.
Controle quem pode criar e usar dados pessoais access tokens
workspace Os administradores podem definir permissões no access tokens pessoal para controlar quais usuários, entidades de serviço e grupos podem criar e usar o tokens. Para obter detalhes sobre como configurar as permissões pessoais de access token, consulte gerenciar permissões pessoais de access token .
Definir o tempo máximo de vida útil de um novo pessoal access tokens
O senhor pode gerenciar a vida útil máxima do novo tokens em seu workspace usando o Databricks CLI ou a configuração do espaço de trabalho API. Esse limite se aplica somente a novos tokens.
Observação
Databricks revoga automaticamente o access tokens pessoal não utilizado por 90 dias ou mais. A Databricks não revogará tokens com vida útil superior a 90 dias, desde que os tokens sejam usados ativamente.
Como prática recomendada de segurança, a Databricks recomenda o uso de tokens OAuth em vez de PATs. Se o senhor estiver fazendo a transição da autenticação de PATs para OAuth, a Databricks recomenda o uso de tokens de curta duração para aumentar a segurança.
Defina maxTokenLifetimeDays
como o tempo máximo de vida dos tokens do novo tokens em dias, como um número inteiro. Se o senhor definir esse valor como zero, os novos tokens não poderão ter limite de tempo de vida. Por exemplo:
databricks workspace-conf set-status --json '{
"maxTokenLifetimeDays": "90"
}'
curl -n -X PATCH "https://<databricks-instance>/api/2.0/workspace-conf" \
-d '{
"maxTokenLifetimeDays": "90"
}'
Para usar o provedor Databricks Terraform para gerenciar o tempo de vida máximo para novos tokens em um workspace, consulte o recurso de espaço de trabalho.
Monitorar e revogar tokens
Esta seção descreve como usar o Databricks CLI para gerenciar o site tokens existente no site workspace. O senhor também pode usar os tokens Management API. Databricks revoga automaticamente o site pessoal access tokens que não tenha sido usado em 90 dias ou mais.
Obter tokens para o workspace
Para obter o workspace's tokens:
from databricks.sdk import WorkspaceClient
w = WorkspaceClient()
spark.createDataFrame([token.as_dict() for token in w.token_management.list()]).createOrReplaceTempView('tokens')
display(spark.sql('select * from tokens order by creation_time'))
# Filter results by a user by using the `created-by-id` (to filter by the user ID) or `created-by-username` flags.
databricks token-management list