评估 Databricks 帐户中的个人访问令牌使用情况
使用个人访问令牌 (PAT) 保护对 Azure Databricks 资源的访问需要定期撤销单个访问令牌。 本主题提供了一个笔记本,该笔记本在 Azure Databricks 工作区中运行时,列出在过去 90 天内未轮换或更新的所有个人访问令牌 (PAT),以便可以撤销这些令牌。
注意
Databricks 建议使用 OAuth 机密和访问令牌进行身份验证,而不是 PAT。
先决条件
要在 Azure Databricks 工作区中运行此笔记本,你必须为 Azure Databricks 工作区启用联合身份验证。 如果你有帐户管理员权限,可以按照以下说明为用户启用联合身份验证:启用联合身份验证。
Databricks 工作区 PAT 使用情况笔记本
运行以下笔记本并查看帐户中 PAT 的状态:
评估 Databricks 帐户和工作区的 PAT 使用情况
后续步骤
评估 Azure Databricks 帐户的 PAT 使用情况后,Databricks 建议通过以下步骤来最大程度地减少令牌公开:
- 为工作区中创建的所有新令牌设置短生存期。 生存期应小于 90 天。
- 请与 Azure Databricks 工作区管理员和用户合作,切换到生存期较短的令牌。
- 撤销所有生存期较长的令牌,以减少这些旧令牌随时间推移被滥用的风险。 当令牌 90 天或更长时间未使用时,Databricks 会自动撤销 Azure Databricks 工作区的所有 PAT。
最佳做法
若要对自动化中的 Azure Databricks 工作区和资源的 API 访问进行身份验证,Databricks 建议使用服务主体和 OAuth。 虽然 Databricks 仍支持 PAT 来实现兼容性,但由于安全性风险较大,它们不再是身份验证的首选机制。