评估 Databricks 帐户中的个人访问令牌使用情况

使用个人访问令牌 (PAT) 保护对 Azure Databricks 资源的访问需要定期撤销单个访问令牌。 本主题提供了一个笔记本,该笔记本在 Azure Databricks 工作区中运行时,列出在过去 90 天内未轮换或更新的所有个人访问令牌 (PAT),以便可以撤销这些令牌。

注意

Databricks 建议使用 OAuth 机密和访问令牌进行身份验证,而不是 PAT。

先决条件

要在 Azure Databricks 工作区中运行此笔记本,你必须为 Azure Databricks 工作区启用联合身份验证。 如果你有帐户管理员权限,可以按照以下说明为用户启用联合身份验证:启用联合身份验证

Databricks 工作区 PAT 使用情况笔记本

运行以下笔记本并查看帐户中 PAT 的状态:

评估 Databricks 帐户和工作区的 PAT 使用情况

获取笔记本

后续步骤

评估 Azure Databricks 帐户的 PAT 使用情况后,Databricks 建议通过以下步骤来最大程度地减少令牌公开:

  1. 为工作区中创建的所有新令牌设置短生存期。 生存期应小于 90 天。
  2. 请与 Azure Databricks 工作区管理员和用户合作,切换到生存期较短的令牌。
  3. 撤销所有生存期较长的令牌,以减少这些旧令牌随时间推移被滥用的风险。 当令牌 90 天或更长时间未使用时,Databricks 会自动撤销 Azure Databricks 工作区的所有 PAT。

最佳做法

若要对自动化中的 Azure Databricks 工作区和资源的 API 访问进行身份验证,Databricks 建议使用服务主体和 OAuth。 虽然 Databricks 仍支持 PAT 来实现兼容性,但由于安全性风险较大,它们不再是身份验证的首选机制。