Condividi tramite

Esempio di flusso di lavoro dei segreti

  • Articolo

In questo esempio di flusso di lavoro vengono usati segreti per configurare le credenziali JDBC per la connessione a un Archivio Azure Data Lake.

Creare un ambito dei segreti

Creare un ambito segreto denominato jdbc.

Per creare un ambito segreto supportato da Databricks:

databricks secrets create-scope jdbc

Per creare un ambito segreto supportato da Azure Key Vault, seguire le istruzioni in Creare un ambito segreto supportato da Azure Key Vault.

Nota

Se l'account non ha il piano Premium, è necessario creare l'ambito con l'autorizzazione MANAGE concessa a tutti gli utenti ("utenti"). Ad esempio:

databricks secrets create-scope jdbc --initial-manage-principal users

Creare segreti

Il metodo per la creazione dei segreti dipende dall'uso di un ambito supportato da Azure Key Vault o da un ambito supportato da Databricks.

Creare i segreti in un ambito supportato da Azure Key Vault

Aggiungere i segreti username e password usare l'API REST set secret di Azure o portale di Azure'interfaccia utente:

Aggiungere segreti ad Azure Key Vault

Creare i segreti in un ambito supportato da Databricks

Aggiungere i segreti username e password. Eseguire i comandi seguenti e immettere i valori dei segreti nell'editor aperto.

databricks secrets put-secret jdbc username
databricks secrets put-secret jdbc password

Usare i segreti in un notebook

In un notebook leggere i segreti archiviati nell'ambito jdbc del segreto per configurare un connettore JDBC:

val driverClass = "com.microsoft.sqlserver.jdbc.SQLServerDriver"
val connectionProperties = new java.util.Properties()
connectionProperties.setProperty("Driver", driverClass)

val jdbcUsername = dbutils.secrets.get(scope = "jdbc", key = "username")
val jdbcPassword = dbutils.secrets.get(scope = "jdbc", key = "password")
connectionProperties.put("user", s"${jdbcUsername}")
connectionProperties.put("password", s"${jdbcPassword}")

È ora possibile usarli ConnectionProperties con il connettore JDBC per comunicare con l'origine dati. I valori recuperati dall'ambito non vengono mai visualizzati nel notebook (vedere Redaction secret).

Concedere l'accesso a un altro gruppo

Nota

Questo passaggio richiede che l'account disponga del piano Premium.

Dopo aver verificato che le credenziali siano state configurate correttamente, condividere queste credenziali con il gruppo da usare per l'analisi datascience concedendole le autorizzazioni per leggere l'ambito del segreto ed elencare i segreti disponibili.

Concedere al gruppo l'autorizzazione datascience READ a queste credenziali effettuando la richiesta seguente:

databricks secrets put-acl jdbc datascience READ

Per altre informazioni sul controllo di accesso segreto, vedere ACL dei segreti.