將 Databricks 秘密 新增為 Databricks Apps 資源,以安全地將敏感性值 (例如 API 金鑰或權杖) 傳遞至您的應用程式。 Databricks Apps 支援儲存在 秘密範圍中的秘密。 應用程式會在執行階段擷取這些秘密,這會讓它們遠離您的應用程式程式碼和環境定義。
新增秘密資源
在你新增秘密作為資源之前,先先檢視 應用程式資源的前置條件。
- 當你建立或編輯應用程式時,請切換到 「配置 」步驟。
- 在 應用程式資源 區塊,點擊 + 新增資源。
- 選取 [密碼] 作為資源類型。
- 選擇機密範圍。
- 選取該範圍內要在應用程式中使用的秘密金鑰。
- 選擇範圍的許可層級 (而不是個別密碼):
- 能讀: 授與應用程式所選範圍內所有秘密的讀取存取權。
- 可以寫: 授與應用程式更新範圍中任何秘密的權限。
- 可以管理: 授與應用程式讀取、更新和刪除範圍中任何秘密的權限。
- (選用)指定自訂資源金鑰,這是您在應用程式組態中參考密碼的方式。 預設索引鍵是
secret。
Note
這些步驟可讓應用程式安全地從指定範圍中存取選取的秘密,並將其值作為環境變數傳遞。
不過,秘密許可權會套用 在範圍 層級,而不是個別秘密。 若要限制應用程式之間的存取,請為每個應用程式建立個別的秘密範圍,並僅將必要的秘密儲存在該範圍中。
環境變數
當您部署使用秘密資源的應用程式時,Azure Databricks 會將每個秘密插入為環境變數。 每個變數的名稱都符合您在新增密碼時定義的資源金鑰。
若要從應用程式存取密碼,請使用該環境變數。 在您的應用程式設定檔(例如 app.yaml)中,定義一個變數,該變數使用valueFrom欄位來參考密碼。 此設定可確保實際秘密值仍由 Azure Databricks 安全管理,而且不會以純文字形式公開。
如果您在具有不同資源索引鍵的多個資源項目中使用相同的密碼,則在 中 valueFrom參照時,每個項目都會變成個別的環境變數。
如需詳細資訊,請參閱 從資源存取環境變數。
Important
切勿將敏感值直接儲存在環境變數或應用程式程式碼中。 相反地,請將資源金鑰作為環境變數傳遞至 Azure Databricks,並在執行階段安全地擷取秘密值。
移除秘密資源
當您從應用程式移除秘密資源時,秘密本身會保留在秘密範圍中。 但是,除非您再次新增密碼,否則應用程式將無法存取密碼。
最佳實務
在應用程式中管理密碼時,請遵循下列最佳做法:
- 請勿公開原始秘密值。 直接插入為環境變數的秘密值會以純文字形式顯示在應用程式的 「環境」 頁面上。 若要避免這種情況,請在應用程式設定中使用
valueFrom欄位來參考機密資訊,並在應用程式程式碼中以安全的方式擷取其值。 - 將應用程式的存取權限制為僅限其所需的特定範圍。 避免授與工作區中所有範圍的存取權。
- 為所有密碼建立輪換排程,並在團隊成員變更角色或離開組織時立即輪換。