Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dodaj wpisy tajne usługi Databricks jako zasoby usługi Databricks Apps, aby bezpiecznie przekazywać poufne wartości, takie jak klucze interfejsu API lub tokeny, do aplikacji. Usługa Databricks Apps obsługuje wpisy tajne przechowywane w zakresach wpisów tajnych. Aplikacje pobierają te sekrety w czasie wykonywania, co ogranicza ich dostęp w kodzie aplikacji i definicjach środowiska.
Dodaj zasób tajny
Przed dodaniem sekretu jako zasobu zapoznaj się z wymaganiami wstępnymi dotyczącymi zasobów aplikacji.
- Podczas tworzenia lub edytowania aplikacji przejdź do kroku Konfigurowanie .
- W sekcji Zasoby aplikacji kliknij pozycję + Dodaj zasób.
- Wybierz pozycję Wpis tajny jako typ zasobu.
- Wybierz zakres tajny.
- Wybierz klucz tajny w tym zakresie, który ma być używany w aplikacji.
- Wybierz poziom uprawnień dla zakresu (a nie dla pojedynczego sekretu):
- Można odczytać: Przyznaje aplikacji dostęp do odczytu do wszystkich wpisów tajnych w wybranym zakresie.
- Może pisać: Przyznaje aplikacji uprawnienia do aktualizowania dowolnego wpisu tajnego w zakresie.
- Może zarządzać: Przyznaje aplikacji uprawnienia do odczytu, aktualizowania i usuwania dowolnego wpisu tajnego w zakresie.
- (Opcjonalnie) Określ niestandardowy klucz zasobu, w jaki sposób odwołujesz się do wpisu tajnego w konfiguracji aplikacji. Kluczem domyślnym jest
secret.
Note
Te kroki umożliwiają aplikacji bezpieczny dostęp do wybranego sekretu z ustalonego zakresu poprzez przekazanie jego wartości jako zmiennej środowiskowej.
Uprawnienia wpisu tajnego mają zastosowanie na poziomie zakresu , ale nie do pojedynczego wpisu tajnego. Aby ograniczyć dostęp między aplikacjami, utwórz oddzielny zakres tajemnicy dla każdej aplikacji i przechowuj tylko wymagane tajemnice w tym zakresie.
Zmienne środowiskowe
Podczas wdrażania aplikacji, która korzysta z zasobów tajnych, Azure Databricks umieszcza każdy sekret jako zmienną środowiskową. Nazwa każdej zmiennej jest zgodna z kluczem zasobu zdefiniowanym podczas dodawania wpisu tajnego.
Aby uzyskać dostęp do sekretu z aplikacji, użyj tej zmiennej środowiskowej. W pliku konfiguracji aplikacji (na przykład app.yaml), zdefiniuj zmienną, która odwołuje się do sekretu przy użyciu pola valueFrom. Dzięki tej konfiguracji rzeczywista wartość wpisu tajnego pozostaje bezpiecznie zarządzana przez usługę Azure Databricks i nie jest widoczna w postaci zwykłego tekstu.
Jeśli używasz tego samego sekretu w wielu wpisach zasobów z różnymi kluczami zasobów, każda z nich staje się oddzielną zmienną środowiskową, gdy są przywoływane w elemencie valueFrom.
Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu do zmiennych środowiskowych z zasobów.
Important
Nigdy nie przechowuj poufnych wartości bezpośrednio w zmiennych środowiskowych ani w kodzie aplikacji. Zamiast tego przekaż klucz zasobu do usługi Azure Databricks jako zmienną środowiskową i bezpiecznie pobierz wartość tajnego klucza w czasie wykonywania.
Usuwanie tajnego zasobu
Po usunięciu zasobu tajnego z aplikacji, sam tajny pozostaje w zakresie tajnym. Jednak aplikacja traci dostęp do sekretu, chyba że dodasz go ponownie.
Najlepsze rozwiązania
Postępuj zgodnie z tymi najlepszymi praktykami podczas zarządzania sekretami w aplikacji:
- Nie ujawniaj nieprzetworzonych wartości wpisów tajnych. Wartości wpisów tajnych wprowadzone bezpośrednio w postaci zmiennych środowiskowych są wyświetlane w postaci zwykłego tekstu na stronie Środowisko aplikacji. Aby tego uniknąć, należy odwołać się do tajnego wpisu
valueFromw konfiguracji aplikacji, a następnie bezpiecznie pobrać wartość w kodzie aplikacji. - Ogranicz dostęp aplikacji tylko do określonych zakresów, których potrzebuje. Unikaj udzielania dostępu do wszystkich zakresów w obszarze roboczym.
- Ustanów harmonogram rotacji dla wszystkich sekretów i wymieniaj je natychmiast, gdy członek zespołu zmienia rolę lub opuszcza organizację.