Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dodaj tajne zasoby Databricks jako zasoby aplikacji Databricks, aby bezpiecznie przesyłać poufne dane, takie jak klucze API lub tokeny, do aplikacji. Usługa Databricks Apps obsługuje tajemnice przechowywane w zakresach tajemnic. Aplikacje pobierają te sekrety w czasie wykonywania, co ogranicza ich dostęp w kodzie aplikacji i definicjach środowiska.
Dodaj zasób tajny
Przed dodaniem sekretu jako zasobu zapoznaj się z wymaganiami wstępnymi dotyczącymi zasobów aplikacji.
- W sekcji Zasoby aplikacji podczas tworzenia lub edytowania aplikacji kliknij + Dodaj zasób>Tajny.
- Wybierz zakres tajny.
- Wybierz klucz tajny w tym zakresie, który ma być używany w aplikacji.
- Wybierz poziom uprawnień dla zakresu (a nie dla pojedynczego sekretu):
- Można odczytać: Przyznaje aplikacji dostęp do odczytu do wszystkich wpisów tajnych w wybranym zakresie.
- Może pisać: Przyznaje aplikacji uprawnienia do aktualizowania dowolnej tajemnicy w danym zakresie.
- Może zarządzać: Przyznaje aplikacji uprawnienia do odczytu, aktualizowania i usuwania dowolnej tajemnicy w ramach przydzielonego zakresu.
- (Opcjonalnie) Określ niestandardowy klucz zasobu, którego używasz do odwoływania się do wpisu tajnego w konfiguracji aplikacji. Kluczem domyślnym jest
secret.
Note
Te kroki umożliwiają aplikacji bezpieczny dostęp do wybranego sekretu z ustalonego zakresu poprzez przekazanie jego wartości jako zmiennej środowiskowej.
Uprawnienia sekretu mają zastosowanie na poziomie zakresu, jednak nie dla pojedynczego sekretu. Aby ograniczyć dostęp między aplikacjami, utwórz oddzielny zakres tajemnicy dla każdej aplikacji i przechowuj tylko wymagane tajemnice w tym zakresie.
Zmienne środowiskowe
Podczas wdrażania aplikacji, która używa zasobów tajnych, Azure Databricks wstrzykuje każdy sekret jako zmienną środowiskową. Nazwa każdej zmiennej jest zgodna z kluczem zasobu zdefiniowanym podczas dodawania wpisu tajnego.
Aby uzyskać dostęp do sekretu z aplikacji, użyj tej zmiennej środowiskowej. W pliku konfiguracji aplikacji (na przykład app.yaml), zdefiniuj zmienną, która odwołuje się do sekretu przy użyciu pola valueFrom. Ta konfiguracja gwarantuje, że rzeczywista wartość wpisu tajnego pozostaje bezpiecznie zarządzana przez Azure Databricks i nie jest widoczna w postaci zwykłego tekstu.
Jeśli używasz tego samego sekretu w wielu wpisach zasobów z różnymi kluczami zasobów, każda z nich staje się oddzielną zmienną środowiskową, gdy są przywoływane w elemencie valueFrom.
Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu do zmiennych środowiskowych z zasobów.
Important
Nigdy nie przechowuj poufnych wartości bezpośrednio w zmiennych środowiskowych ani w kodzie aplikacji. Zamiast tego przekaż klucz zasobu do Azure Databricks jako zmienną środowiskową i bezpiecznie pobierz tajną wartość podczas wykonywania.
Usuwanie tajnego zasobu
Po usunięciu zasobu tajnego z aplikacji, sam tajny pozostaje w zakresie tajnym. Jednak aplikacja traci dostęp do sekretu, chyba że dodasz go ponownie.
Najlepsze rozwiązania
Postępuj zgodnie z tymi najlepszymi praktykami podczas zarządzania sekretami w aplikacji:
- Nie ujawniaj surowych tajnych wartości. Wartości wpisów tajnych wprowadzone bezpośrednio w postaci zmiennych środowiskowych są wyświetlane w postaci zwykłego tekstu na stronie Środowisko aplikacji. Aby tego uniknąć, należy odwołać się do tajnego wpisu
valueFromw konfiguracji aplikacji, a następnie bezpiecznie pobrać wartość w kodzie aplikacji. - Ogranicz dostęp aplikacji tylko do określonych zakresów, których potrzebuje. Unikaj udzielania dostępu do wszystkich zakresów w obszarze roboczym.
- Ustanów harmonogram rotacji dla wszystkich sekretów i wymieniaj je natychmiast, gdy członek zespołu zmienia rolę lub opuszcza organizację.