個人用アクセス トークンの監視と管理

  • [アーティクル]

ユーザーは、Azure Databricks REST API に対して認証するために、個人用アクセス トークンを作成し、それを REST API 要求で使用することができます。 この記事では、ワークスペース管理者がワークスペースで個人用アクセス トークンを管理する方法について説明します。

個人アクセス トークンを作成するには、「Azure Databricks 個人アクセス トークン認証」をご覧ください。

パーソナルアクセストークン管理の概要

個人用アクセス トークンは、2018 年以降に作成されたすべての Azure Databricks ワークスペースで、既定で有効になっています。

ワークスペースで個人アクセス トークンが有効になっている場合、使用可能アクセス許可を持つユーザーは、Azure Databricks REST API にアクセスするための個人アクセス トークンを生成でき、無期限の有効期限など、任意の有効期限を設定してこれらのトークンを生成できます。 既定では、管理者以外のワークスペース ユーザーには使用可能アクセス許可は付与されません。つまり、これらのユーザーは個人用アクセス トークンを作成または使用できません。

Azure Databricks ワークスペース管理者は、ワークスペースの個人用アクセス トークンを無効にしたり、トークンを監視および取り消したり、管理者以外のユーザーがトークンを作成してトークンを使用できるユーザーを制御したり、新しいトークンの最大有効期間を設定したりできます。

ワークスペースで個人用アクセス トークンを管理するには、Premium プランが必要です。 個人アクセス トークンを作成するには、「Azure Databricks 個人アクセス トークン認証」をご覧ください。

ワークスペースの個人アクセス トークン認証を有効または無効にする

個人アクセス トークン認証は、2018 年以降に作成されたすべての Azure Databricks ワークスペースでは、既定で有効になります。 この設定は、[ワークスペースの設定] ページで変更できます。

ワークスペースの個人アクセス トークンが無効になっている場合、個人アクセス トークンを Azure Databricks への認証に使用することはできず、ワークスペース ユーザーとサービス プリンシパルは新しいトークンを作成できません。 ワークスペースの個人アクセス トークン認証を無効にしても、トークンは削除されません。 後でトークンを再度有効にすると、有効期限が切れていないトークンは使用できるようになります。

ユーザーのサブセットに対してトークン アクセスを無効にする場合は、ワークスペースに対して個人アクセス トークン認証を有効にしたままにして、ユーザーとグループに対してきめ細かなアクセス許可を設定できます。 「トークンを作成および使用できるユーザーを制御する」をご覧ください。

警告

Partner Connectパートナー統合では、ワークスペースで個人用アクセス トークンを有効にする必要があります。

ワークスペースの個人アクセス トークンを作成および使用する機能を無効にするには、次の手順を実行します。

  1. [設定] ページに移動します。

  2. [詳細設定] タブをクリックします。

  3. [個人用アクセス トークン] トグルをクリックします。

  4. [Confirm](確認) をクリックします。

    この変更が有効になるまで、数秒かかることがあります。

ワークスペース構成 API を使用して、ワークスペースの個人用アクセス トークンを無効にすることもできます。

トークンを作成および使用できるユーザーを制御する

ワークスペース管理者は、個人用アクセス トークンにアクセス許可を設定して、どのユーザー、サービス プリンシパル、グループがトークンを作成および使用できるかを制御できます。 個人用アクセス トークンのアクセス許可を構成する方法の詳細については、「Azure Databricks 自動化へのアクセスを管理する」を参照してください。

新しいトークンの最大有効期間を設定する

Databricks CLI を使用して、ワークスペース内の新しいトークンの最大有効期間を管理できます。 この制限は、新しいトークンにのみ適用されます。

maxTokenLifetimeDays を、日単位の整数で、新しいトークンの最大トークン有効期間に設定します。 これを 0 に設定した場合、新しいトークンには有効期間の制限を設けないことが許可されます。 次に例を示します。

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

ワークスペース内の新しいトークンの最大有効期間を管理するには、ワークスペース構成 API を使うこともできます。

トークンの監視と取り消しを行う

このセクションでは、Databricks CLI を使用して、ワークスペース内の既存のトークンを管理する方法について説明します。 トークン管理 API を使用することもできます。

ワークスペースのトークンを取得する

ワークスペースのトークンを取得するには:

databricks token-management list

フラグ created-by-id (ユーザー ID でフィルター処理) または created-by-username (ユーザー名でフィルター処理) を使用して、ユーザーによって結果をフィルター処理できます。

次に例を示します。

databricks token-management list --created-by-username user@company.com

応答の例:

ID  Created By  Comment
token-id  user@company.com dev

トークンを削除する (取り消す)

トークンを削除するには、TOKEN_ID を削除するトークンの ID に置き換えます。

databricks token-management delete TOKEN_ID