Поделиться через

CLI секретов (устаревшая версия)

  • Статья

Важно!

Поддержка этой документации прекращена, она может больше не обновляться.

Эта информация относится к устаревшим интерфейсам командной строки Databricks версии 0.18 и ниже. Databricks рекомендует использовать более новую версию Интерфейса командной строки Databricks версии 0.205 или более поздней. См. сведения о интерфейсе командной строки Databricks?. Чтобы найти версию интерфейса командной строки Databricks, выполните команду databricks -v.

Сведения о миграции из Databricks CLI версии 0.18 или ниже в Databricks CLI версии 0.205 или более поздней, см. в статье Databricks CLI.

Чтобы запустить подкоманды CLI для секретов Databricks, добавьте их в databricks secrets. Эти вложенные команды вызывают API секретов.

Дополнительные сведения о секретах см. в статье Управление секретами.

Примечание.

Для работы с CLI для секретов требуется интерфейс командной строки Databricks 0.7.1 или более поздней версии.

databricks secrets --help

Usage: databricks secrets [OPTIONS] COMMAND [ARGS]...

  Utility to interact with secret API.

Options:
  -v, --version   [VERSION]
  --profile TEXT  CLI connection profile to use. The default profile is
                  "DEFAULT".
  -h, --help      Show this message and exit.

Commands:
  create-scope  Creates a secret scope.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --initial-manage-principal     The initial principal that can manage the created secret scope.
                                      If specified, the initial ACL with MANAGE permission applied
                                      to the scope is assigned to the supplied principal (user or group).
                                      The only supported principal is the group
                                      "users", which contains all users in the workspace. If not
                                      specified, the initial ACL with MANAGE permission applied to
                                      the scope is assigned to request issuer's user identity.
  delete        Deletes a secret.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --key KEY                      The name of secret key.
  delete-acl    Deletes an access control rule for a principal.
    Options:
      --scope SCOPE                  The name of the scope.
      --principal PRINCIPAL          The name of the principal.
  delete-scope  Deletes a secret scope.
    Options:
      --scope SCOPE                  The name of the secret scope.
  get-acl       Gets the details for an access control rule.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --principal PRINCIPAL          The name of the principal.
      --output FORMAT                JSON or TABLE. Set to TABLE by default.
  list          Lists all the secrets in a scope.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --output FORMAT                JSON or TABLE. Set to TABLE by default.
  list-acls     Lists all access control rules for a given secret scope.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --output FORMAT                JSON or TABLE. Set to TABLE by default.
  list-scopes   Lists all secret scopes.
      --output FORMAT                JSON or TABLE. Set to TABLE by default.
  put           Puts a secret in a scope.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --key KEY                      The name of the secret key.
      --string-value TEXT            Read value from string and stored in UTF-8 (MB4) form
      --binary-file PATH             Read value from binary-file and stored as bytes.
  put-acl       Creates or overwrites an access control rule for a principal
                applied to a given secret scope.
    Options:
      --scope SCOPE                    The name of the secret scope.
      --principal PRINCIPAL            The name of the principal.
      --permission [MANAGE|WRITE|READ] The permission to apply.
  write         Puts a secret in a scope. "write" is an alias for "put".
    Options:
      --scope SCOPE                  The name of the secret scope.
      --key KEY                      The name of the secret key.
      --string-value TEXT            Read value from string and stored in UTF-8 (MB4) form
      --binary-file PATH             Read value from binary-file and stored as bytes.
  write-acl     Creates or overwrites an access control rule for a principal
                applied to a given secret scope. "write-acl" is an alias for
                "put-acl".
    Options:
      --scope SCOPE                    The name of the secret scope.
      --principal PRINCIPAL            The name of the principal.
      --permission [MANAGE|WRITE|READ] The permission to apply.

Создание области секретов

Чтобы просмотреть документацию по использованию, выполните команду databricks secrets create-scope --help.

databricks secrets create-scope --scope my-scope

В случае успеха отчет о выполнении команды не отображается.

Чтобы использовать интерфейс командной строки Databricks для создания секретной области на базе Azure Key Vault, выполните команду databricks secrets create-scope --help, чтобы отобразить сведения о дополнительных параметрах --scope-backend-type, --resource-id и --dns-name. Дополнительные сведения см. в разделе Секреты.

Удаление секрета.

Чтобы просмотреть документацию по использованию, выполните команду databricks secrets delete --help.

databricks secrets delete --scope my-scope --key my-key

В случае успеха отчет о выполнении команды не отображается.

Отмена списка управления доступом для субъекта

Чтобы просмотреть документацию по использованию, выполните команду databricks secrets delete-acl --help.

databricks secrets delete-acl --scope my-scope --principal someone@example.com

В случае успеха отчет о выполнении команды не отображается.

Удаление области секрета

Чтобы просмотреть документацию по использованию, выполните команду databricks secrets delete-scope --help.

databricks secrets delete-scope --scope my-scope

В случае успеха отчет о выполнении команды не отображается.

Формирование списка управления доступом для субъекта

Чтобы просмотреть документацию по использованию, выполните команду databricks secrets get-acl --help.

databricks secrets get-acl --scope my-scope --principal someone@example.com --output JSON

{
  "principal": "sonmeone@example.com",
  "permission": "MANAGE"
}

Вывод списка секретных ключей, хранящихся в секретной области

Чтобы просмотреть документацию по использованию, выполните команду databricks secrets list --help.

databricks secrets list --scope my-scope --output JSON

{
  "secrets": [
    {
      "key": "my-key",
      "last_updated_timestamp": 1621284092605
    }
  ]
}

Примечание.

Интерфейс командной строки Databricks не позволяет получать доступ к секретным значениям. Чтобы получить доступ к секретным значениям, необходимо использовать служебную программу Databricks Utilities в записной книжке Databricks.

Вывод списков управления доступом для секретной области

Чтобы просмотреть документацию по использованию, выполните команду databricks secrets list-acls --help.

databricks secrets list-acls --scope my-scope --output JSON

{
  "items": [
    {
      "principal": "someone@example.com",
      "permission": "MANAGE"
    }
  ]
}

Вывод списка всех доступных секретных областей в рабочей области

Чтобы просмотреть документацию по использованию, выполните команду databricks secrets list-scopes --help.

databricks secrets list-scopes --output JSON

{
  "scopes": [
    {
      "name": "my-scope",
      "backend_type": "DATABRICKS"
    }
  ]
}

создавать или обновлять секреты;

Чтобы просмотреть документацию по использованию, выполните команду databricks secrets put --help или databricks secrets write --help.

Существует три способа хранения секрета. Проще всего использовать параметр --string-value; секрет будет храниться в форме UTF-8 (MB4). Необходимо с осторожностью пользоваться этим параметром, так как секрет может храниться в журнале командной строки в виде обычного текста.

databricks secrets put --scope my-scope --key my-key --string-value my-value

Или сделайте так:

databricks secrets write --scope my-scope --key my-key --string-value my-value

В случае успеха отчет о выполнении команды не отображается.

Можно также использовать параметр --binary-file для хранения секрета в файле. Содержимое файла доступно для чтения как есть и хранится в виде байтов.

databricks secrets put --scope my-scope --key my-key --binary-file my-secret.txt

Или сделайте так:

databricks secrets write --scope my-scope --key my-key --binary-file my-secret.txt

В случае успеха отчет о выполнении команды не отображается.

Если параметр не указан, открывается редактор для ввода секрета. Чтобы ввести секрет, следуйте инструкциям в редакторе.

databricks secrets put --scope my-scope --key my-key

Или сделайте так:

databricks secrets write --scope my-scope --key my-key


# ----------------------------------------------------------------------
# Do not edit the above line. Everything below it will be ignored.
# Please input your secret value above the line. Text will be stored in
# UTF-8 (MB4) form and any trailing new line will be stripped.
# Exit without saving will abort writing secret.

Предоставление или изменение списка управления доступом на секретную область субъекта

Чтобы просмотреть документацию по использованию, выполните команду databricks secrets put-acl --help или databricks secrets write-acl --help.

databricks secrets put-acl --scope my-scope --principal someone@example.com --permission MANAGE

Или сделайте так:

databricks secrets write-acl --scope my-scope --principal someone@example.com --permission MANAGE

В случае успеха отчет о выполнении команды не отображается.