Aracılığıyla paylaş


Gizli dizi kapsamları

Gizli dizileri yönetme, gizli dizi kapsamı oluşturmakla başlar. Gizli dizi kapsamı, bir adla tanımlanan gizli dizi koleksiyonudur.

Çalışma alanı en fazla 1000 gizli dizi kapsamıyla sınırlıdır. Daha fazlasına ihtiyacınız varsa Azure Databricks destek ekibinize başvurun.

Not

Databricks, gizli kapsamların kişiler yerine rollere veya uygulamalara hizalanması önerilir.

Genel bakış

İki tür gizli kapsam vardır: Azure Key Vault ile desteklenen ve Databricks ile desteklenen.

Azure Key Vault destekli kapsamlar

Azure Key Vault'ta depolanan gizli dizilere başvurmak için Azure Key Vault tarafından yedeklenen bir gizli dizi kapsamı oluşturabilirsiniz. Ardından ilgili Key Vault örneğindeki tüm gizli dizilerden bu gizli dizi kapsamından yararlanabilirsiniz. Azure Key Vault destekli gizli dizi kapsamı Key Vault PutSecret için salt okunur bir arabirim olduğundan ve DeleteSecret Gizli Diziler API'sinin işlemlerine izin verilmez. Azure Key Vault'ta gizli dizileri yönetmek için Azure Set Secret REST API'sini veya Azure portalı kullanıcı arabirimini kullanmanız gerekir.

Databricks destekli kapsamlar

Databricks ile desteklenen gizli dizi kapsamı, Azure Databricks'e ait ve Azure Databricks tarafından yönetilen şifrelenmiş bir veritabanında depolanır (desteklenir). Gizli dizi kapsamı adı:

  • Çalışma alanı içinde benzersiz olmalıdır.
  • Alfasayısal karakterler, tireler, alt çizgi, @ve noktalardan oluşmalıdır ve 128 karakteri aşamaz.

Adlar hassas değil olarak kabul edilir ve çalışma alanı içindeki tüm kullanıcılar tarafından okunabilir.

Databricks CLI'sını (sürüm 0.205 ve üzeri) kullanarak Databricks destekli gizli dizi kapsamı oluşturursunuz. Alternatif olarak Gizli Diziler API'sini de kullanabilirsiniz.

Kapsam izinleri

Kapsamlar gizli ACL'ler tarafından denetlenen izinlerle oluşturulur. Varsayılan olarak, kapsamlar, kapsamı oluşturan kullanıcı için YÖNET izniyle oluşturulur ("oluşturucu"). Bu, oluşturucunun kapsamdaki gizli dizileri okumasına, kapsama gizli diziler yazmasına ve kapsamın ACL'lerini değiştirmesine olanak tanır. Hesabınızda Premium plan varsa, kapsamı oluşturduktan sonra istediğiniz zaman ayrıntılı izinler atayabilirsiniz. Ayrıntılar için bkz . Gizli ACL'ler.

Ayrıca, varsayılanı geçersiz kılabilir ve kapsamı oluşturduğunuzda tüm kullanıcılara açıkça YÖNET izni verebilirsiniz. Aslında, hesabınızda Premium plan yoksa bunu yapmanız gerekir.

Not

Gizli dizi ACL'leri kapsam düzeyindedir. Azure Key Vault destekli kapsamlar kullanıyorsanız, kapsama erişim izni verilen kullanıcılar Azure Key Vault'taki tüm gizli dizilere erişebilir. Erişimi kısıtlamak için ayrı Azure anahtar kasası örnekleri kullanın.

Azure Key Vault destekli gizli dizi kapsamı oluşturma

Bu bölümde, Azure portalını ve Azure Databricks çalışma alanı kullanıcı arabirimini kullanarak Azure Key Vault destekli gizli dizi kapsamının nasıl oluşturulacağı açıklanmaktadır. Databricks CLI'yi kullanarak Azure Key Vault destekli gizli dizi kapsamı da oluşturabilirsiniz.

Gereksinimler

  • Gizli dizi kapsamını yedeklemek için kullanmak istediğiniz Azure anahtar kasası örneğinde Key Vault Katkıda Bulunanı, Katkıda Bulunanı veya Sahip rolüne sahip olmanız gerekir.

    Anahtar kasası örneğiniz yoksa Azure portalını kullanarak Key Vault oluşturma başlığındaki yönergeleri izleyin.

    Not

    Azure Key Vault destekli gizli dizi kapsamı oluşturmak için, Azure Databricks hizmetine daha önce anahtar kasasına erişim verilmiş olsa bile Azure anahtar kasası örneğinde Katkıda Bulunan veya Sahip rolü gerekir.

    Anahtar kasası Azure Databricks çalışma alanından farklı bir kiracıda varsa, gizli dizi kapsamını oluşturan Azure AD kullanıcısının anahtar kasasının kiracısında hizmet sorumluları oluşturma izni olmalıdır. Aksi takdirde aşağıdaki hata oluşur:

    Unable to grant read/list permission to Databricks service principal to KeyVault 'https://xxxxx.vault.azure.net/': Status code 403, {"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privileges to complete the operation."},"requestId":"XXXXX","date":"YYYY-MM-DDTHH:MM:SS"}}
    

Azure Databricks için Azure anahtar kasası örneğinizi yapılandırma

  1. Azure Portal'da oturum açın, Azure anahtar kasası örneğini bulun ve seçin.

  2. Ayarlar'ın altında Erişim yapılandırması sekmesini seçin.

  3. İzin modelini Kasa erişim ilkesi olarak ayarlayın.

    Not

    Azure Key Vault destekli gizli dizi kapsamı rolü oluşturmak, anahtar kasası erişim ilkelerini kullanarak Azure Databricks hizmetinin uygulama kimliğine Alma ve Listeleme izinleri verir. Azure rol tabanlı erişim denetimi izin modeli şu anda Azure Databricks ile desteklenmemektedir.

  4. Ayarlar’ın altında sekmesini seçin.

  5. Güvenlik duvarları ve sanal ağlar bölümünde Erişime izin ver: olarak belirli sanal ağlardan ve IP adreslerinden genel erişime izin ver olarak ayarlayın.

    Özel Durum'un altında Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver'i işaretleyin.

    Not

    Erişime izin ver: olarak da Tüm ağlardan genel erişime izin ver olarak ayarlayabilirsiniz.

Azure Key Vault destekli gizli dizi kapsamı oluşturma

  1. Şuraya git: https://<databricks-instance>#secrets/createScope . değerini Azure Databricks dağıtımınızın çalışma alanı URL'si ile değiştirin<databricks-instance>. Bu URL büyük/küçük harfe duyarlıdır (içindeki createScope kapsam büyük harf olmalıdır).

    Kapsam oluşturma

  2. Gizli dizi kapsamının adını girin. Gizli dizi kapsam adları büyük/küçük harfe duyarlı değildir.

  3. Tüm Kullanıcılar'ın bu gizli dizi kapsamı için YÖNET iznine sahip olup olmadığını veya yalnızca gizli dizi kapsamının Oluşturucusu'na (siz) sahip olup olmadığını belirtmek için Sorumluyu Yönet açılan listesini kullanın.

    YÖNET izni, kullanıcıların bu gizli dizi kapsamını okumasına ve yazmasına ve Premium plandaki hesaplar söz konusu olduğunda kapsamın izinlerini değiştirmesine olanak tanır.

    Oluşturucu'ya seçebilmeniz için hesabınızın Premium planı olmalıdır. Bu önerilen yaklaşımdır: Gizli dizi kapsamını oluştururken Oluşturucuya YÖNET izni verin ve kapsamı test ettikten sonra daha ayrıntılı erişim izinleri atayın. Örnek bir iş akışı için bkz . Gizli dizi iş akışı örneği.

    Hesabınızda Standart Plan varsa YÖNET iznini "Tüm Kullanıcılar" grubuna ayarlamanız gerekir. Burada Oluşturan'ı seçerseniz kapsamı kaydetmeye çalıştığınızda bir hata iletisi görürsünüz.

    YÖNET izni hakkında daha fazla bilgi için bkz . Gizli ACL'ler.

  4. DNS Adını (örneğin, https://databrickskv.vault.azure.net/) ve Kaynak Kimliğini girin, örneğin:

    /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/databricks-rg/providers/Microsoft.KeyVault/vaults/databricksKV
    

    Bu özellikler, Azure portalınızdaki bir Azure Key Vault'un Ayarlar > Özellikleri sekmesinden kullanılabilir.

  5. Oluştur düğmesine tıklayın.

  6. Kapsamın başarıyla oluşturulduğunu doğrulamak için Databricks CLI databricks secrets list-scopes komutunu kullanın.

Databricks destekli gizli dizi kapsamı oluşturma

Gizli dizi kapsam adları büyük/küçük harfe duyarlı değildir.

Databricks CLI kullanarak kapsam oluşturmak için:

databricks secrets create-scope <scope-name>

Varsayılan olarak kapsamlar, kapsamı oluşturan kullanıcı için YÖNET izniyle oluşturulur. Hesabınızda Premium plan yoksa, bu varsayılan planı geçersiz kılmanız ve kapsamı oluştururken "kullanıcılara" (tüm kullanıcılar) açıkça YÖNET izni vermelisiniz :

databricks secrets create-scope <scope-name> --initial-manage-principal users

Gizli Diziler API'sini kullanarak Databricks destekli gizli dizi kapsamı da oluşturabilirsiniz.

Hesabınızda Premium plan varsa, kapsamı oluşturduktan sonra istediğiniz zaman izinleri değiştirebilirsiniz. Ayrıntılar için bkz . Gizli ACL'ler.

Databricks destekli gizli dizi kapsamı oluşturduktan sonra gizli diziler ekleyebilirsiniz.

Gizli dizi kapsamlarını listeleme

CLI kullanarak bir çalışma alanında var olan kapsamları listelemek için:

databricks secrets list-scopes

Gizli Diziler API'sini kullanarak mevcut kapsamları da listeleyebilirsiniz.

Gizli dizi kapsamını silme

Gizli dizi kapsamının silinmesi, kapsama uygulanan tüm gizli dizileri ve ACL'leri siler. CLI kullanarak bir kapsamı silmek için aşağıdakileri çalıştırın:

databricks secrets delete-scope <scope-name>

Gizli Diziler API'sini kullanarak gizli dizi kapsamını da silebilirsiniz.