Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Adicione segredos do Databricks como recursos do Databricks Apps para passar com segurança valores confidenciais, como chaves de API ou tokens, para seu aplicativo. O Databricks Apps suporta segredos armazenados em escopos secretos. Os aplicativos recuperam esses segredos em tempo de execução, o que os mantém fora do código do aplicativo e das definições de ambiente.
Adicionar um recurso secreto
Antes de adicionar um segredo como recurso, revê os pré-requisitos de recursos da aplicação.
- Quando criar ou editar uma aplicação, navegue até ao passo Configurar .
- Na secção de recursos da App , clique em + Adicionar recurso.
- Selecione Segredo como o tipo de recurso.
- Escolha um escopo secreto.
- Selecione uma chave secreta dentro desse escopo para usar em seu aplicativo.
- Escolha um nível de permissão para o escopo (não para o segredo individual):
- Pode ler-se: Concede ao aplicativo acesso de leitura a todos os segredos no escopo selecionado.
- Pode escrever: Concede permissão ao aplicativo para atualizar qualquer segredo no escopo.
- Pode gerenciar: Concede ao aplicativo permissão para ler, atualizar e excluir qualquer segredo no escopo.
- (Opcional) Especifique uma chave de recurso personalizada, que é como você referencia o segredo na configuração do seu aplicativo. A chave padrão é
secret.
Note
Essas etapas permitem que o aplicativo acesse com segurança um segredo selecionado do escopo, passando seu valor como uma variável de ambiente.
No entanto, as permissões secretas se aplicam no nível do escopo , não no segredo individual. Para limitar o acesso entre aplicativos, crie um escopo secreto separado para cada aplicativo e armazene apenas os segredos necessários nesse escopo.
Variáveis de ambiente
Quando você implanta um aplicativo que usa recursos secretos, o Azure Databricks injeta cada segredo como uma variável de ambiente. O nome de cada variável corresponde à chave de recurso que você definiu quando adicionou o segredo.
Para acessar o segredo do seu aplicativo, use essa variável de ambiente. No arquivo de configuração do aplicativo (como app.yaml), defina uma variável que faça referência ao segredo usando o valueFrom campo. Essa configuração garante que o valor secreto real permaneça gerenciado com segurança pelo Azure Databricks e não seja exposto em texto sem formatação.
Se você usar o mesmo segredo em várias entradas de recursos com chaves de recurso diferentes, cada uma delas se tornará uma variável de ambiente separada quando referenciada no valueFrom.
Para obter mais informações, consulte Acessar variáveis de ambiente a partir de recursos.
Important
Nunca armazene valores confidenciais diretamente em variáveis de ambiente ou no código do seu aplicativo. Em vez disso, passe a chave de recurso para o Azure Databricks como uma variável de ambiente e recupere o valor secreto com segurança no tempo de execução.
Remover um recurso secreto
Quando você remove um recurso secreto de um aplicativo, o próprio segredo permanece no escopo secreto. No entanto, o aplicativo perde o acesso ao segredo, a menos que você o adicione novamente.
Melhores práticas
Siga estas práticas recomendadas ao gerenciar segredos em seu aplicativo:
- Não exponha valores secretos brutos. Os valores secretos injetados diretamente como variáveis de ambiente aparecem em texto sem formatação na página Ambiente do aplicativo. Para evitar isso, faça referência ao segredo usando o campo
valueFromna configuração do aplicativo e recupere o valor com segurança no código do aplicativo. - Limite o acesso do aplicativo apenas aos escopos específicos necessários. Evite conceder acesso a todas as permissões no espaço de trabalho.
- Estabeleça um cronograma de rotação para todos os segredos e alterne imediatamente quando um membro da equipe mudar de função ou deixar sua organização.