Adición de un recurso secreto a una aplicación de Databricks

Agregue secretos de Databricks como recursos de Databricks Apps para pasar de forma segura valores confidenciales, como claves de API o tokens, a la aplicación. Databricks Apps admite secretos almacenados en ámbitos secretos. Las aplicaciones recuperan estos secretos en tiempo de ejecución, lo que los mantiene fuera del código de la aplicación y las definiciones de entorno.

Adición de un recurso secreto

Antes de agregar un secreto como recurso, revise los requisitos previos del recurso de la aplicación.

1. En la sección Recursos de la aplicación al crear o editar una aplicación, haga clic en + Agregar secreto de recurso>.
2. Elija un ámbito secreto.
3. Seleccione una clave secreta dentro de ese ámbito para usarla en la aplicación.
4. Elija un nivel de permiso para el ámbito (no el secreto individual):
   • Puede leer: Concede a la aplicación acceso de lectura a todos los secretos del ámbito seleccionado.
   • Puede escribir: Concede a la aplicación autorización para actualizar cualquier secreto en el alcance.
   • Puede administrar: Otorga a la aplicación permiso para leer, actualizar y eliminar cualquier secreto dentro del alcance.
5. (Opcional) Especifique una clave de recurso personalizada, que es la forma en que hace referencia al secreto en la configuración de la aplicación. La clave predeterminada es secret.

Note

Estos pasos permiten que la aplicación acceda de forma segura a un secreto seleccionado desde el ámbito pasando su valor como una variable de entorno.

Sin embargo, los permisos de secreto se aplican en el nivel de ámbito , no en el secreto individual. Para limitar el acceso entre aplicaciones, cree un ámbito secreto independiente para cada aplicación y almacene solo los secretos necesarios en ese ámbito.

Variables de entorno

Al implementar una aplicación que usa recursos secretos, Azure Databricks inserta cada secreto como una variable de entorno. El nombre de cada variable coincide con la clave de recurso que definió al agregar el secreto.

Para acceder al secreto desde la aplicación, use esa variable de entorno. En el archivo de configuración de la aplicación (por ejemplo, app.yaml), definir una variable que haga referencia al secreto mediante el campo valueFrom. Esta configuración garantiza que el valor del secreto real permanece administrado de forma segura por Azure Databricks y no se expone en texto no cifrado.

Si usa el mismo secreto en varias entradas de recursos con claves de recursos diferentes, cada una se convierte en una variable de entorno independiente cuando se hace referencia a en valueFrom.

Para obtener más información, consulte Access environment variables from resources (Acceso a variables de entorno desde recursos).

Important

Nunca almacene valores confidenciales directamente en variables de entorno o en el código de la aplicación. En su lugar, pase la clave de recurso a Azure Databricks como una variable de entorno y recupere el valor del secreto de forma segura en tiempo de ejecución.

Eliminación de un recurso secreto

Al quitar un recurso secreto de una aplicación, el secreto permanece en el ámbito del secreto. Sin embargo, la aplicación pierde el acceso al secreto a menos que lo agregue de nuevo.

Procedimientos recomendados

Siga estos procedimientos recomendados al administrar secretos en la aplicación:

• No exponga valores secretos en bruto. Los valores secretos insertados directamente como variables de entorno aparecen en texto no cifrado en la página Entorno de la aplicación. Para evitar esto, haga referencia al secreto mediante el campo en la valueFrom configuración de la aplicación y recupere el valor de forma segura en el código de la aplicación.
• Limite el acceso de la aplicación solo a los ámbitos específicos que necesita. Evite conceder acceso a todos los ámbitos del área de trabajo.
• Establezca una programación de rotación para todos los secretos y gire inmediatamente cuando un miembro del equipo cambie los roles o abandone la organización.