Adición de un recurso secreto a una aplicación de Databricks

Agregue secretos de Databricks como recursos de Databricks Apps para pasar de forma segura valores confidenciales, como claves de API o tokens, a la aplicación. Databricks Apps admite secretos almacenados en ámbitos secretos. Las aplicaciones recuperan estos secretos en tiempo de ejecución, lo que los mantiene fuera del código de la aplicación y las definiciones de entorno.

Adición de un recurso secreto

Antes de agregar un secreto como recurso, revise los requisitos previos del recurso de la aplicación.

1. Al crear o editar una aplicación, vaya al paso Configurar .
2. En la sección Recursos de la aplicación, haga clic en + Agregar recurso.
3. Seleccione Secreto como tipo de recurso.
4. Elija un ámbito secreto.
5. Seleccione una clave secreta dentro de ese ámbito para usarla en la aplicación.
6. Elija un nivel de permiso para el ámbito (no el secreto individual):
   • Puede leer: Concede a la aplicación acceso de lectura a todos los secretos del ámbito seleccionado.
   • Puede escribir: Concede al aplicación permiso para actualizar cualquier secreto en el ámbito.
   • Puede administrar: Concede permiso a la aplicación para leer, actualizar y eliminar cualquier secreto en el ámbito.
7. (Opcional) Especifique una clave de recurso personalizada, que es la forma en que hace referencia al secreto en la configuración de la aplicación. La clave predeterminada es secret.

Note

Estos pasos permiten que la aplicación acceda de forma segura a un secreto seleccionado desde el ámbito pasando su valor como una variable de entorno.

Sin embargo, los permisos de secreto se aplican en el nivel de ámbito , no en el secreto individual. Para limitar el acceso entre aplicaciones, cree un ámbito secreto independiente para cada aplicación y almacene solo los secretos necesarios en ese ámbito.

Variables de entorno

Al implementar una aplicación que usa recursos secretos, Azure Databricks inserta cada secreto como una variable de entorno. El nombre de cada variable coincide con la clave de recurso que definió al agregar el secreto.

Para acceder al secreto desde la aplicación, use esa variable de entorno. En el archivo de configuración de la aplicación (por ejemplo, app.yaml), definir una variable que haga referencia al secreto mediante el campo valueFrom. Esta configuración garantiza que el valor del secreto real permanece administrado de forma segura por Azure Databricks y no se expone en texto no cifrado.

Si usa el mismo secreto en varias entradas de recursos con claves de recursos diferentes, cada una se convierte en una variable de entorno independiente cuando se hace referencia a en valueFrom.

Para obtener más información, consulte Access environment variables from resources (Acceso a variables de entorno desde recursos).

Important

Nunca almacene valores confidenciales directamente en variables de entorno o en el código de la aplicación. En su lugar, pase la clave de recurso a Azure Databricks como una variable de entorno y recupere el valor del secreto de forma segura en tiempo de ejecución.

Eliminación de un recurso secreto

Al quitar un recurso secreto de una aplicación, el secreto permanece en el ámbito del secreto. Sin embargo, la aplicación pierde el acceso al secreto a menos que lo agregue de nuevo.

Procedimientos recomendados

Siga estos procedimientos recomendados al administrar secretos en la aplicación:

• No exponga valores secretos sin procesar. Los valores secretos insertados directamente como variables de entorno aparecen en texto no cifrado en la página Entorno de la aplicación. Para evitar esto, haga referencia al secreto mediante el campo en la valueFrom configuración de la aplicación y recupere el valor de forma segura en el código de la aplicación.
• Limite el acceso de la aplicación solo a los ámbitos específicos que necesita. Evite conceder acceso a todos los ámbitos del área de trabajo.
• Establezca una programación de rotación para todos los secretos y gire inmediatamente cuando un miembro del equipo cambie los roles o abandone la organización.