Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Adicione segredos do Databricks como recursos do Databricks Apps para passar com segurança valores confidenciais, como chaves de API ou tokens, para seu aplicativo. Os Aplicativos do Databricks dão suporte a segredos armazenados em escopos secretos. Os aplicativos recuperam esses segredos em runtime, o que os mantém fora do código do aplicativo e das definições de ambiente.
Adicionar um recurso secreto
Antes de adicionar um segredo como um recurso, examine os pré-requisitos do recurso de aplicativo.
- Ao criar ou editar um aplicativo, navegue até a etapa Configurar.
- Na seção Recursos do aplicativo, clique em + Adicionar recurso.
- Selecione Segredo como o tipo de recurso.
- Escolha um escopo secreto.
- Selecione uma chave secreta dentro desse escopo para usar em seu aplicativo.
- Escolha um nível de permissão para o escopo (não o segredo individual):
- Pode ler: Concede ao aplicativo acesso de leitura a todos os segredos no escopo selecionado.
- Pode escrever: Concede ao aplicativo permissão para atualizar qualquer segredo no escopo.
- Pode gerenciar: Concede ao aplicativo permissão para ler, atualizar e excluir qualquer segredo no escopo.
- (Opcional) Especifique uma chave de recurso personalizada, que é como você faz referência ao segredo na configuração do aplicativo. A chave padrão é
secret.
Note
Essas etapas permitem que o aplicativo acesse com segurança um segredo selecionado do escopo passando seu valor como uma variável de ambiente.
No entanto, as permissões secretas se aplicam ao nível do escopo , não ao segredo individual. Para limitar o acesso entre aplicativos, crie um escopo secreto separado para cada aplicativo e armazene apenas os segredos necessários nesse escopo.
Variáveis de ambiente
Quando você implanta um aplicativo que usa recursos secretos, o Azure Databricks injeta cada segredo como uma variável de ambiente. O nome de cada variável corresponde à chave de recurso que você definiu quando adicionou o segredo.
Para acessar o segredo do aplicativo, use essa variável de ambiente. No arquivo de configuração do aplicativo (como app.yaml), defina uma variável que faça referência ao segredo usando o valueFrom campo. Essa configuração garante que o valor real do segredo permaneça gerenciado com segurança pelo Azure Databricks e não seja exposto em texto sem formatação.
Se você usar o mesmo segredo em várias entradas de recurso com chaves de recurso diferentes, cada uma se tornará uma variável de ambiente separada quando referenciada em valueFrom.
Para obter mais informações, consulte Como acessar variáveis de ambiente dos recursos.
Important
Nunca armazene valores confidenciais diretamente em variáveis de ambiente ou no código do aplicativo. Em vez disso, passe a chave de recurso para o Azure Databricks como uma variável de ambiente e recupere o valor secreto com segurança no runtime.
Remover um recurso secreto
Quando você remove um recurso secreto de um aplicativo, o segredo em si permanece no escopo secreto. No entanto, o aplicativo perde o acesso ao segredo, a menos que você o adicione novamente.
Práticas recomendadas
Siga estas práticas recomendadas ao gerenciar segredos em seu aplicativo:
- Não exponha valores secretos brutos. Valores secretos injetados diretamente como variáveis de ambiente aparecem em texto sem formatação na página Ambiente do aplicativo. Para evitar isso, faça referência ao segredo usando o
valueFromcampo na configuração do aplicativo e recupere o valor com segurança no código do aplicativo. - Limite o acesso do aplicativo apenas aos escopos específicos de que ele precisa. Evite conceder acesso a todos os escopos no espaço de trabalho.
- Estabeleça um cronograma de rotação para todas as informações confidenciais e altere imediatamente quando um membro da equipe mudar de função ou sair da sua organização.