Titkos erőforrás hozzáadása Egy Databricks-alkalmazáshoz

Databricks-titkos kulcsokat adhat hozzá Databricks Apps-erőforrásokként, így biztonságosan átadhat bizalmas értékeket, például API-kulcsokat vagy jogkivonatokat az alkalmazásnak. A Databricks Apps támogatja a titkos hatókörökben tárolt titkos kulcsokat. Az alkalmazások futásidőben kérik le ezeket a titkokat, így azok nem kerülnek be az alkalmazás kódjába és a környezetdefiníciókba.

Titkos erőforrás hozzáadása

Mielőtt titkos kulcsot ad hozzá erőforrásként, tekintse át az alkalmazás erőforrás-előfeltételeit.

1. Alkalmazás létrehozásakor vagy szerkesztésekor lépjen a Konfigurálás lépésre.
2. Az Alkalmazáserőforrások szakaszban kattintson az + Erőforrás hozzáadása elemre.
3. Válassza a Titkos kulcs lehetőséget erőforrástípusként.
4. Válasszon egy titkos hatókört.
5. Válasszon ki egy titkos kulcsot a hatókörön belül, amelyet az alkalmazásban szeretne használni.
6. Válasszon egy jogosultsági szintet a hatókörhöz (nem az egyéni titkos kódhoz):
   • Olvasható: Olvasási hozzáférést biztosít az alkalmazásnak a kijelölt hatókörben lévő összes titkos kódhoz.
   • Írhat: Engedélyt ad az alkalmazásnak a hatókörben lévő titkos kódok frissítésére.
   • Kezelheti a következőt: Engedélyt ad az alkalmazásnak a hatókörben lévő titkos kódok olvasására, frissítésére és törlésére.
7. (Nem kötelező) Adjon meg egy egyéni erőforráskulcsot, így hivatkozhat a titkos kódra az alkalmazáskonfigurációban. Az alapértelmezett kulcs a következő secret.

Note

Ezek a lépések lehetővé teszik, hogy az alkalmazás biztonságosan hozzáférjen a hatókörből kiválasztott titkos kódhoz az érték környezeti változóként való átadásával.

A titkos kódokra vonatkozó engedélyek a hatókör szintjén érvényesek, az egyes titkos kódokra azonban nem. Az alkalmazások közötti hozzáférés korlátozásához hozzon létre egy külön titkos hatókört az egyes alkalmazásokhoz, és csak a szükséges titkos kulcsokat tárolja az adott hatókörben.

Környezeti változók

Titkos erőforrásokat használó alkalmazás üzembe helyezésekor az Azure Databricks környezeti változóként injektálja az egyes titkos kulcsokat. Az egyes változók neve megegyezik a titkos kód hozzáadásakor definiált erőforráskulcsdal.

A titkos kód alkalmazásból való eléréséhez használja ezt a környezeti változót. Az alkalmazáskonfigurációs fájlban (például app.yaml) adjon meg egy változót, amely a mező használatával hivatkozik a valueFrom titkos kódra. Ez a beállítás biztosítja, hogy az Azure Databricks biztonságosan kezelje a titkos kulcs tényleges értékét, és ne legyen egyszerű szövegként közzétéve.

Ha ugyanazt a titkos kulcsot több erőforrás-bejegyzésben használja különböző erőforráskulcsokkal, mindegyik külön környezeti változóvá válik, amikor a hivatkozás a következőben történik valueFrom.

További információkért olvassa el az Erőforrásokból származó környezeti változók elérése című részt.

Important

Ne tároljon bizalmas értékeket közvetlenül környezeti változókban vagy az alkalmazás kódjában. Ehelyett átadhatja az erőforráskulcsot az Azure Databricksnek környezeti változóként, és futásidőben biztonságosan lekérheti a titkos értéket.

Titkos erőforrás eltávolítása

Amikor eltávolít egy titkos erőforrást egy alkalmazásból, maga a titkos kulcs is a titkos kulcs hatókörében marad. Az alkalmazás azonban elveszíti a hozzáférést a titkos kódhoz, hacsak nem adja hozzá újra.

Ajánlott eljárások

Kövesse az alábbi ajánlott eljárásokat, amikor titkos kulcsokat kezel az alkalmazásban:

• Ne tegye közzé a nyers titkos értékeket. A közvetlen környezeti változóként beszúrt titkos értékek egyszerű szövegben jelennek meg az alkalmazás Környezet lapján. Ennek elkerülése érdekében hivatkozzon a titkos kódra az valueFrom alkalmazáskonfiguráció mezőjében, és kérje le az értéket biztonságosan az alkalmazáskódban.
• Korlátozza az alkalmazás hozzáférését csak a szükséges hatókörökre. Ne adjon hozzáférést a munkaterület összes hatóköréhez.
• Hozzon létre egy ütemezést az összes titok rotációjához, és azonnal cserélje ki, amikor egy csapattag szerepkört vált vagy elhagyja a szervezetet.