Monitorowanie osobistych tokenów dostępu i zarządzanie nimi
Aby uwierzytelnić się w interfejsie API REST usługi Azure Databricks, użytkownik może utworzyć osobisty token dostępu i użyć go w żądaniu interfejsu API REST. W tym artykule wyjaśniono, jak administratorzy obszarów roboczych mogą zarządzać osobistymi tokenami dostępu w ich obszarze roboczym.
Aby utworzyć osobisty token dostępu, zobacz Uwierzytelnianie osobistego tokenu dostępu usługi Azure Databricks.
Omówienie zarządzania osobistym tokenem dostępu
Osobiste tokeny dostępu są domyślnie włączone dla wszystkich obszarów roboczych usługi Azure Databricks utworzonych w 2018 lub nowszych wersjach.
Gdy osobiste tokeny dostępu są włączone w obszarze roboczym, użytkownicy z uprawnieniem CAN USE mogą generować osobiste tokeny dostępu w celu uzyskania dostępu do interfejsów API REST usługi Azure Databricks i mogą wygenerować te tokeny z dowolną datą wygaśnięcia, w tym nieokreślonym okresem istnienia. Domyślnie żaden użytkownik niebędący administratorem obszaru roboczego nie ma uprawnienia CAN USE, co oznacza, że nie może tworzyć ani używać osobistych tokenów dostępu.
Jako administrator obszaru roboczego usługi Azure Databricks możesz wyłączyć osobiste tokeny dostępu dla obszaru roboczego, monitorować i odwoływać tokeny, kontrolować, którzy użytkownicy niebędący administratorami mogą tworzyć tokeny i używać tokenów, a także ustawiać maksymalny okres istnienia nowych tokenów.
Zarządzanie osobistymi tokenami dostępu w obszarze roboczym wymaga planu Premium. Aby utworzyć osobisty token dostępu, zobacz Uwierzytelnianie osobistego tokenu dostępu usługi Azure Databricks.
Włączanie lub wyłączanie uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego
Uwierzytelnianie osobistego tokenu dostępu jest domyślnie włączone dla wszystkich obszarów roboczych usługi Azure Databricks utworzonych w 2018 lub nowszych wersjach. To ustawienie można zmienić na stronie ustawień obszaru roboczego.
Jeśli osobiste tokeny dostępu są wyłączone dla obszaru roboczego, osobiste tokeny dostępu nie mogą być używane do uwierzytelniania w usłudze Azure Databricks, a użytkownicy obszaru roboczego i jednostki usługi nie mogą tworzyć nowych tokenów. Podczas wyłączania uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego nie są usuwane żadne tokeny. Jeśli tokeny zostaną ponownie włączone później, wszystkie tokeny, które nie wygasły, będą dostępne do użycia.
Jeśli chcesz wyłączyć dostęp do tokenu dla podzbioru użytkowników, możesz zachować włączenie uwierzytelniania osobistego tokenu dostępu dla obszaru roboczego i ustawić szczegółowe uprawnienia dla użytkowników i grup. Zobacz Kontrolowanie, kto może tworzyć tokeny i używać ich.
Ostrzeżenie
Integracje partnerów Połączenie i partnerów wymagają włączenia osobistych tokenów dostępu w obszarze roboczym.
Aby wyłączyć możliwość tworzenia i używania osobistych tokenów dostępu dla obszaru roboczego:
Przejdź do strony ustawień.
Kliknij kartę Zaawansowane.
Kliknij przełącznik Osobiste tokeny dostępu.
Kliknij przycisk Potwierdź.
Ta zmiana może potrwać kilka sekund.
Możesz również użyć interfejsu API konfiguracji obszaru roboczego, aby wyłączyć osobiste tokeny dostępu dla obszaru roboczego.
Kontrolowanie, kto może tworzyć tokeny i używać ich
Administratorzy obszaru roboczego mogą ustawić uprawnienia do osobistych tokenów dostępu, aby kontrolować, którzy użytkownicy, jednostki usługi i grupy mogą tworzyć tokeny i używać ich. Aby uzyskać szczegółowe informacje na temat konfigurowania osobistych uprawnień tokenu dostępu, zobacz Zarządzanie dostępem do automatyzacji usługi Azure Databricks.
Ustawianie maksymalnego okresu istnienia nowych tokenów
Możesz zarządzać maksymalnym okresem istnienia nowych tokenów w obszarze roboczym przy użyciu interfejsu wiersza polecenia usługi Databricks. Ten limit dotyczy tylko nowych tokenów.
Ustaw maxTokenLifetimeDays wartość maksymalnego okresu istnienia tokenu nowych tokenów w dniach jako liczba całkowita. Jeśli ustawisz ją na zero, nowe tokeny mogą nie mieć limitu okresu istnienia. Na przykład:
databricks workspace-conf set-status --json '{
"maxTokenLifetimeDays": "90"
}'
Interfejs API konfiguracji obszaru roboczego umożliwia również zarządzanie maksymalnym okresem istnienia nowych tokenów w obszarze roboczym.
Monitorowanie i odwoływanie tokenów
W tej sekcji opisano sposób używania interfejsu wiersza polecenia usługi Databricks do zarządzania istniejącymi tokenami w obszarze roboczym. Możesz również użyć interfejsu API zarządzania tokenami.
Pobieranie tokenów dla obszaru roboczego
Aby uzyskać tokeny obszaru roboczego:
databricks token-management list
Wyniki można filtrować według użytkownika przy użyciu flag created-by-id (aby filtrować według identyfikatora użytkownika) lub created-by-username (aby filtrować według nazwy użytkownika).
Na przykład:
databricks token-management list --created-by-username user@company.com
Przykładowa odpowiedź:
ID Created By Comment
token-id user@company.com dev
Usuwanie (odwoływanie) tokenu
Aby usunąć token, zastąp TOKEN_ID identyfikatorem tokenu, który chcesz usunąć:
databricks token-management delete TOKEN_ID
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla