Omfattningar för hemligheter

Att hantera hemligheter börjar med att skapa ett hemligt omfång. Ett hemligt omfång är en samling hemligheter som identifieras med ett namn.

En arbetsyta är begränsad till högst 1 000 hemliga omfång. Kontakta azure Databricks-supportteamet om du behöver mer.

Kommentar

Databricks rekommenderar att du justerar hemliga omfång till roller eller program i stället för enskilda användare.

Översikt

Det finns två typer av hemlighetsomfång: Hemlighetsomfång som stöds av Azure Key Vault eller Hemlighetsomfång som stöds av Databricks.

Azure Key Vault-backade omfång

Om du vill referera till hemligheter som lagras i ett Azure Key Vault kan du skapa ett hemligt omfång som backas upp av Azure Key Vault. Du kan sedan utnyttja alla hemligheter i motsvarande Key Vault-instans från det hemliga omfånget. Eftersom det Azure Key Vault-säkerhetskopierade hemlighetsomfånget är ett skrivskyddat gränssnitt till Key Vault, PutSecret tillåts inte åtgärderna och DeleteSecretSecrets API . Om du vill hantera hemligheter i Azure Key Vault måste du använda AZURE Set Secret REST API eller Azure-portalens användargränssnitt.

Databricks-backade omfång

Ett hemlighetsomfång som stöds av Databricks lagras i (backas upp av) en krypterad databas som ägs och hanteras av Azure Databricks. Namnet på det hemliga omfånget:

• Måste vara unikt i en arbetsyta.
• Måste bestå av alfanumeriska tecken, bindestreck, understreck, @och punkter och får inte överstiga 128 tecken.

Namnen anses vara icke-känsliga och kan läsas av alla användare på arbetsytan.

Du skapar ett Databricks-säkerhetskopierat hemlighetsomfång med databricks CLI (version 0.205 och senare). Du kan också använda API:et Hemligheter.

Omfångsbehörigheter

Omfång skapas med behörigheter som styrs av hemliga ACL:er. Som standard skapas omfång med MANAGE-behörighet för den användare som skapade omfånget ("skaparen"), vilket gör att skaparen kan läsa hemligheter i omfånget, skriva hemligheter till omfånget och ändra ACL:er för omfånget. Om ditt konto har Premium-planen kan du tilldela detaljerade behörigheter när som helst när du har skapat omfånget. Mer information finns i Hemliga ACL:er.

Du kan också åsidosätta standardinställningen och uttryckligen bevilja MANAGE-behörighet till alla användare när du skapar omfånget. Du måste faktiskt göra detta om ditt konto inte har Premium-planen.

Kommentar

Hemliga ACL:er finns på omfångsnivå. Om du använder Azure Key Vault-stödda omfång har användare som beviljas åtkomst till omfånget åtkomst till alla hemligheter i Azure Key Vault. Om du vill begränsa åtkomsten använder du separata Azure Key Vault-instanser.

Skapa ett Azure Key Vault-säkerhetskopierat hemlighetsomfång

I det här avsnittet beskrivs hur du skapar ett Azure Key Vault-säkerhetskopierat hemlighetsomfång med hjälp av Azure-portalen och Azure Databricks-arbetsytans användargränssnitt. Du kan också skapa ett Azure Key Vault-säkerhetskopierat hemlighetsomfång med hjälp av Databricks CLI.

Krav

• Du måste ha rollen Key Vault-deltagare, deltagare eller ägare på den Azure Key Vault-instans som du vill använda för att stödja det hemliga omfånget.

  Om du inte har någon key vault-instans följer du anvisningarna i Skapa ett nyckelvalv med azure-portalen.

  Kommentar

  För att skapa ett Azure Key Vault-säkerhetskopierat hemligt omfång krävs rollen Deltagare eller Ägare på Azure Key Vault-instansen även om Azure Databricks-tjänsten tidigare har beviljats åtkomst till nyckelvalvet.

  Om nyckelvalvet finns i en annan klientorganisation än Azure Databricks-arbetsytan måste Den Azure AD-användare som skapar det hemliga omfånget ha behörighet att skapa tjänstens huvudnamn i nyckelvalvets klientorganisation. Annars uppstår följande fel:

  Unable to grant read/list permission to Databricks service principal to KeyVault 'https://xxxxx.vault.azure.net/': Status code 403, {"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privileges to complete the operation."},"requestId":"XXXXX","date":"YYYY-MM-DDTHH:MM:SS"}}
  

Konfigurera din Azure Key Vault-instans för Azure Databricks

1. Logga in på Azure-portalen, leta upp och välj Azure Key Vault-instansen.

2. Välj fliken Åtkomstkonfiguration under Inställningar.

3. Ange Behörighetsmodell till Åtkomstprincip för valv.

   Kommentar

   Om du skapar en Azure Key Vault-stödd hemlig omfångsroll ger du behörigheten Hämta och lista till program-ID:t för Azure Databricks-tjänsten med hjälp av åtkomstprinciper för nyckelvalv. Den rollbaserade behörighetsmodellen för Azure-åtkomstkontroll stöds för närvarande inte med Azure Databricks.

4. Välj fliken Nätverk under Inställningar.

5. I Brandväggar och virtuella nätverk anger du Tillåt åtkomst från: till Tillåt offentlig åtkomst från specifika virtuella nätverk och IP-adresser.

   Under Undantag markerar du Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen.

   Kommentar

   Du kan också ange Tillåt åtkomst från: till Tillåt offentlig åtkomst från alla nätverk.

Skapa ett hemligt omfång som stöds av Azure Key Vault

1. Gå till https://<databricks-instance>#secrets/createScope. Ersätt <databricks-instance> med arbetsytans URL för din Azure Databricks-distribution. Den här URL:en är skiftlägeskänslig (omfånget i createScope måste vara versalt).

   

2. Ange namnet på det hemliga omfånget. Namn på omfattningar för hemligheter är skiftlägesokänsliga.

3. Använd listrutan Hantera huvudnamn för att ange om Alla användare har HANTERA-behörighet för det här hemliga omfånget eller endast skaparen av det hemliga omfånget (det vill säga du).

   MED HANTERA-behörighet kan användare läsa och skriva till det här hemliga omfånget och, när det gäller konton i Premium-planen, ändra behörigheter för omfånget.

   Ditt konto måste ha Premium-planen för att du ska kunna välja Skapare. Det här är den rekommenderade metoden: bevilja MANAGE-behörighet till Skaparen när du skapar det hemliga omfånget och tilldela sedan mer detaljerade åtkomstbehörigheter när du har testat omfånget. Ett exempel på ett arbetsflöde finns i Exempel på hemligt arbetsflöde.

   Om ditt konto har standardplanen måste du ange behörigheten HANTERA till gruppen Alla användare. Om du väljer Skapare här visas ett felmeddelande när du försöker spara omfånget.

   Mer information om behörigheten HANTERA finns i Hemliga ACL:er.

4. Ange DNS-namnet (till exempel https://databrickskv.vault.azure.net/) och resurs-ID:

   /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/databricks-rg/providers/Microsoft.KeyVault/vaults/databricksKV
   

   De här egenskaperna är tillgängliga på fliken Egenskaper i ett Azure Key Vault i Azure-portalen.

   

5. Klicka på knappen Skapa.

6. Använd Databricks CLI-kommandotdatabricks secrets list-scopes för att kontrollera att omfånget har skapats.

Skapa ett Databricks-säkerhetskopierat hemlighetsomfång

Namn på omfattningar för hemligheter är skiftlägesokänsliga.

Så här skapar du ett omfång med Databricks CLI:

databricks secrets create-scope <scope-name>

Som standard skapas omfång med HANTERA-behörighet för den användare som skapade omfånget. Om ditt konto inte har Premium-planen måste du åsidosätta den standardinställningen och uttryckligen ge MANAGE-behörigheten till "användare" (alla användare) när du skapar omfånget:

databricks secrets create-scope <scope-name> --initial-manage-principal users

Du kan också skapa ett Databricks-säkerhetskopierat hemlighetsomfång med hjälp av API:et Hemligheter.

Om ditt konto har Premium-planen kan du ändra behörigheter när som helst när du har skapat omfånget. Mer information finns i Hemliga ACL:er.

När du har skapat ett Databricks-säkerhetskopierat hemlighetsomfång kan du lägga till hemligheter.

Visa en lista över hemliga omfång

Så här listar du de befintliga omfången på en arbetsyta med hjälp av CLI:

databricks secrets list-scopes

Du kan också visa en lista över befintliga omfång med hjälp av API:et Hemligheter.

Ta bort en omfattning för en hemlighet

Om du tar bort ett hemligt omfång tas alla hemligheter och ACL:er som tillämpas på omfånget bort. Om du vill ta bort ett omfång med hjälp av CLI kör du följande:

databricks secrets delete-scope <scope-name>

Du kan också ta bort ett hemligt omfång med hjälp av API:et Hemligheter.