评估 Databricks 帐户中的个人访问令牌使用情况
使用个人访问令牌 (PAT) 保护对 Azure Databricks 资源的访问需要定期撤销单个访问令牌。 本主题提供了一个笔记本,该笔记本在 Azure Databricks 工作区中运行时,列出在过去 90 天内未轮换或更新的所有个人访问令牌 (PAT),以便可以撤销这些令牌。
注意
Databricks 建议使用 OAuth 机密和访问令牌进行身份验证,而不是 PAT。 有关使用 OAuth 对 Azure Databricks 工作区资源的访问进行身份验证的详细信息,请参阅使用 OAuth (OAuth U2M) 通过用户帐户对 Azure Databricks 的访问进行身份验证。
先决条件
要在 Azure Databricks 工作区中运行此笔记本,你必须为 Azure Databricks 工作区启用联合身份验证。 如果你有帐户管理员权限,可以按照以下说明为用户启用联合身份验证:启用联合身份验证。
如果要在自动化中使用此笔记本,或将其提供给其他用户来运行它,请创建服务主体。 向新服务主体授予帐户管理员权限,并将服务主体的客户端 ID 和客户端密码添加到笔记本(如代码中所示)。 服务主体会自动为每个工作区添加管理员权限,以便可以运行笔记本来列出该工作区的 PAT。 运行笔记本后,删除服务主体。
Databricks 工作区 PAT 使用情况笔记本
运行以下笔记本并查看帐户中 PAT 的状态:
评估 Databricks 帐户和工作区的 PAT 使用情况
后续步骤
评估 Azure Databricks 帐户的 PAT 使用情况后,Databricks 建议通过以下步骤来最大程度地减少令牌公开:
- 为工作区中创建的所有新令牌设置短生存期。 生存期应小于 90 天。
- 请与 Azure Databricks 工作区管理员和用户合作,切换到生存期较短的令牌。
- 撤销所有生存期较长的令牌,以减少这些旧令牌随时间推移被滥用的风险。 当令牌 90 天或更长时间未使用时,Databricks 会自动撤销 Azure Databricks 工作区的所有 PAT。
最佳做法
若要对自动化中的 Azure Databricks 工作区和资源的 API 访问进行身份验证,Databricks 建议使用服务主体和 OAuth。 虽然 Databricks 仍支持 PAT 来实现兼容性,但由于安全性风险较大,它们不再是身份验证的首选机制。