Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Добавьте секреты Databricks в качестве ресурсов Databricks Apps для безопасного передачи конфиденциальных значений, таких как ключи ИЛИ маркеры API, в приложение. Databricks Apps поддерживает секреты, хранящиеся в областях секретов. Приложения получают эти секреты во время выполнения, что позволяет не использовать их в коде приложения и определениях среды.
Добавить секретный ресурс
Перед добавлением секрета в качестве ресурса просмотрите предварительные требования к ресурсу приложения.
- При создании или изменении приложения перейдите к шагу "Настройка ".
- В разделе "Ресурсы приложения" нажмите кнопку +Добавить ресурс.
- Выберите "Секрет" в качестве типа ресурса.
- Выберите область действия секрета.
- Выберите секретный ключ в этой области для использования в приложении.
- Выберите уровень разрешений для области (а не отдельный секрет):
- Может прочитать: Предоставляет приложению доступ на чтение ко всем секретам в выбранной области.
- Может писать: Предоставляет приложению разрешение на обновление любого секрета в области.
- Может управлять: Предоставляет приложению разрешение на чтение, обновление и удаление любого секрета в области.
- (Необязательно) Укажите пользовательский ключ ресурса, который является ссылкой на секрет в конфигурации приложения. Ключ по умолчанию —
secret.
Note
Эти действия позволяют приложению безопасно получить доступ к выбранному секрету из области, передав его значение в качестве переменной среды.
Разрешения секрета применяются на уровне области , но не отдельный секрет. Чтобы ограничить доступ между приложениями, создайте отдельную область секретов для каждого приложения и сохраните только необходимые секреты в этой области.
Переменные среды
При развертывании приложения, использующего секретные ресурсы, Azure Databricks внедряет каждый секрет в качестве переменной среды. Имя каждой переменной соответствует ключу ресурса, определенному при добавлении секрета.
Чтобы получить доступ к секрету из приложения, используйте ту переменную среды. В файле конфигурации приложения, например app.yaml, определите переменную, которая ссылается на секрет, используя поле valueFrom. Эта настройка гарантирует, что фактическое значение секрета надежно управляется с помощью Azure Databricks и не отображается в открытом виде.
Если вы используете один и тот же секрет для нескольких записей ресурсов с разными ключами, то каждая запись превращается в отдельную переменную среды при обращении к ним в valueFrom.
Дополнительные сведения см. в разделе "Доступ к переменным среды" из ресурсов.
Important
Никогда не сохраняйте конфиденциальные значения непосредственно в переменных среды или коде приложения. Вместо этого передайте ключ ресурса в Azure Databricks в качестве переменной среды и безопасно извлеките значение секрета во время выполнения.
Удаление секретного ресурса
При удалении секретного ресурса из приложения сам секрет остается в области секретов. Однако приложение теряет доступ к секрету, если его не добавить снова.
Рекомендации
Следуйте приведенным ниже рекомендациям при управлении секретами в приложении:
- Не предоставляйте необработанные значения секретов. Значения секретов, внедренные непосредственно в виде переменных среды, отображаются в виде открытого текста на странице среды приложения. Чтобы избежать этого, обратитесь к секрету с помощью поля
valueFromв конфигурации приложения и выполните безопасное получение значения в коде приложения. - Ограничьте доступ приложения только к определенным областям, которые он требует. Избегайте предоставления доступа ко всем областям в рабочей области.
- Установите график обновления всех секретов и немедленно обновляйте, когда член команды меняет роль или покидает вашу организацию.