Rozsahy tajných kódů

  • Článek
  • 6 min ke čtení

Správa tajných kódů začíná vytvořením oboru tajných kódů. Obor tajného klíče je kolekce tajných kódů identifikovaných názvem. Pracovní prostor je omezený na maximálně 100 rozsahů tajných kód.

Přehled

Existují dva typy rozsahu tajných Azure Key Vault, které jsou zálohované na Databricks.

Azure Key Vault obory

Pokud chcete odkazovat na tajné Azure Key Vaultve službě , můžete vytvořit obor tajných kódů, na který Azure Key Vault. Pak můžete využít všechny tajné kódy v příslušné instanci Key Vault z tohoto oboru tajných kódů. Vzhledem k Azure Key Vault tajných kódů je rozhraní jen pro čtení pro Key Vault, operace rozhraní PutSecretDeleteSecretPutSecret pro tajné kódy a nejsou povoleny. Pokud chcete spravovat tajné Azure Key Vault, musíte použít Azure SetSecret pro REST API nebo Azure Portal uživatelského rozhraní.

Obory na straně Databricks

Obor tajných údajů na straně Databricks je uložený v šifrované databázi vlastněné a spravované službou Azure Databricks. Název oboru tajného klíče:

  • Musí být jedinečný v rámci pracovního prostoru.
  • Musí se skládat z alfanumerických znaků, pomlčky, podtržítka a teček a nesmí překročit 128 znaků.

Názvy jsou považovány za citlivé a jsou čitelné pro všechny uživatele v pracovním prostoru.

Obor tajných údajů na základě Databricks vytvoříte pomocí rozhraní příkazového řádku Databricks (verze 0.7.1 a vyšší). Alternativně můžete použít rozhraní API pro tajné kódy 2.0.

Oprávnění oboru

Obory se vytvářejí s oprávněními řízenými seznamy ACL. Ve výchozím nastavení se obory vytvářejí s oprávněním pro uživatele, který obor vytvořil (tvůrce), který umožňuje tvůrci číst tajné kódy v oboru, zapisovat tajné kódy do oboru a měnit seznamy ACL pro MANAGE obor. Pokud má váš účet plán Azure Databricks Premium ,můžete kdykoli po vytvoření oboru přiřadit podrobná oprávnění. Podrobnosti najdete v tématu Řízení přístupu k tajným kódem.

Můžete také přepsat výchozí nastavení a explicitně udělit oprávnění všem MANAGE uživatelům při vytváření oboru. Ve skutečnosti to musíte udělat, pokud váš účet nemá plán Azure Databricks Premium plán.

Osvědčené postupy

Jako vedoucí týmu možná budete chtít vytvořit různé obory pro přihlašovací údaje Azure Synapse Analytics a Azure Blob Storage a pak poskytnout různým podskupinám v týmu přístup k můžou tyto obory. Měli byste zvážit, jak toho dosáhnout pomocí různých typů oborů:

  • Pokud použijete obor na základě Databricks a přidáte tajné kódy do těchto dvou oborů, budou to různé tajné kódy (Azure Synapse Analytics v rozsahu 1 a azure blob storage v rozsahu 2).
  • Pokud použijete obor Azure Key Vault s každým oborem odkazující na jiný Azure Key Vault a přidáte tajné kódy do těchto dvou trezorů klíčů Azure Key Vault, budou to různé sady tajných kódů (Azure Synapse Analytics ty v rozsahu 1 Azure Synapse Analytics úložiště objektů blob v rozsahu 2). Budou fungovat jako obory na straně Databricks.
  • Pokud použijete dva obory Azure Key Vault s oběma obory odkazující na stejný Azure Key Vault a přidáte do tohoto Azure Key Vault tajné kódy, budou k dispozici všechny tajné kódy Azure Synapse Analytics a Azure Blob Storage. Vzhledem k tomu, že seznamy ACL jsou na úrovni oboru, uvidí všichni členové obou podskupin všechny tajné kódy. Toto uspořádání nesplňuje váš případ použití omezení přístupu k sadě tajných kódů pro každou skupinu.

Vytvoření oboru tajných Azure Key Vault na straně serveru

Obor tajných Azure Key Vault na straně serveru můžete vytvořit pomocí uživatelského rozhraní nebo rozhraní příkazového řádku Databricks.

Vytvoření oboru tajných Azure Key Vault na straně serveru pomocí uživatelského rozhraní

  1. Ověřte, že máte oprávnění přispěvatele k instanci Azure Key Vault, kterou chcete použít k zálohování oboru tajných klíče.

    Pokud nemáte instanci Key Vault, postupujte podle pokynů v tématu Rychlý start: Vytvoření Key Vault pomocí Azure Portal.

  2. Přejděte na https://<databricks-instance>#secrets/createScope. V této adrese URL se rozlišují velká a malá písmena. Scope v createScope souboru musí být velké.

    Vytvoření oboru

  3. Zadejte název rozsahu tajného klíče. V názvech rozsahů tajných kódů se nerozlišují malá a velká písmena.

  4. Pomocí rozevíracího seznamu Manage Principal (Spravovat objekt zabezpečení) můžete určit, jestli mají všichni uživatelé oprávnění pro tento obor tajných kódů, nebo jenom tvůrce oboru tajných kód (to znamená vy).

    MANAGEoprávnění umožňuje uživatelům číst a zapisovat do tohoto rozsahu tajných kód, a v případě účtů v Azure Databricks Premium MANAGEzměnit oprávnění pro rozsah.

    Váš účet musí mít plán Azure Databricks Premium, abyste mohli vybrat Creator (Tvůrce). Jedná se o doporučený přístup: Při vytváření oboru tajných údajů udělte tvůrci oprávnění a po otestování oboru přiřaďte podrobnější MANAGE přístupová oprávnění. MANAGE Příklad pracovního postupu najdete v tématu Příklad pracovního postupu tajného kódu.

    Pokud má váš účet plán Standard, musíte oprávnění nastavit MANAGE na skupinu Všichni uživatelé. Pokud tady vyberete Tvůrce, při pokusu o uložení oboru se zobrazí chybová zpráva.

    Další informace o oprávnění MANAGE najdete v tématu Řízení přístupu k MANAGE

  5. Zadejte název DNS (například ) a ID prostředku,například:

    /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/databricks-rg/providers/Microsoft.KeyVault/vaults/databricksKV

    Tyto vlastnosti jsou k dispozici na kartě Vlastnosti Azure Key Vault ve Azure Portal.

    Azure Key Vault vlastnosti

  6. Klikněte na tlačítko Vytvořit.

  7. Pomocí příkazu rozhraní příkazového řádku Databricks ověřte, že se obor úspěšně vytvořil.

Příklad použití tajných kódů při přístupu ke službě Azure Blob Storage najdete v tématu Připojení kontejneru úložiště objektů blob v Azure.

Vytvoření oboru tajných Azure Key Vault na straně serveru pomocí rozhraní příkazového řádku Databricks

  1. Nainstalujte rozhraní příkazového řádku a nakonfigurujte ho tak, aby Azure Active Directory (Azure AD) k ověřování.

    Důležité

    K vytvoření oboru tajných Azure Key Vault pomocí rozhraní příkazového řádku Databricks potřebujete token uživatele Azure AD. Nemůžete použít osobní přístupový Azure Databricks token služby Azure AD ani token aplikace Azure AD, který patří k objektu služby.

    Pokud trezor klíčů existuje v jiném tenantovi než pracovní prostor Azure Databricks, musí mít uživatel Azure AD, který vytváří obor tajných klíčů, oprávnění k vytváření instančních objektů v tenantovi trezoru klíčů. Jinak dojde k následující chybě:

    Unable to grant read/list permission to Databricks service principal to KeyVault 'https://xxxxx.vault.azure.net/': Status code 403, {"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privileges to complete the operation."},"requestId":"XXXXX","date":"YYYY-MM-DDTHH:MM:SS"}}

  2. Vytvořte obor Azure Key Vault:

    databricks secrets create-scope --scope <scope-name> --scope-backend-type AZURE_KEYVAULT --resource-id <azure-keyvault-resource-id> --dns-name <azure-keyvault-dns-name>

    Ve výchozím nastavení se obory vytvářejí s MANAGE oprávněním pro uživatele, který obor vytvořil. Pokud váš účet nemá plán Azure Databricks Premium ,musíte toto výchozí nastavení přepsat a explicitně udělit oprávnění skupině users (všichni uživatelé) při vytváření oboru:

     databricks secrets create-scope --scope <scope-name> --scope-backend-type AZURE_KEYVAULT --resource-id <azure-keyvault-resource-id> --dns-name <azure-keyvault-dns-name> --initial-manage-principal users

    Pokud je váš účet v Azure Databricks Premium, můžete oprávnění kdykoli po vytvoření oboru změnit. Podrobnosti najdete v tématu Řízení přístupu k tajným kódem.

    Po vytvoření oboru tajných kódů, který je pod datovou službou Databricks, můžete přidat tajné kódy.

Příklad použití tajných kódů při přístupu ke službě Azure Blob Storage najdete v tématu Připojení kontejneru úložiště objektů blob v Azure.

Vytvoření rozsahu tajných kódů na bázi Databricks

V názvech rozsahů tajných kódů se nerozlišují malá a velká písmena.

Vytvoření oboru pomocí rozhraní příkazového řádku Databricks:

databricks secrets create-scope --scope <scope-name>

Ve výchozím nastavení se obory vytvářejí s MANAGE oprávněním pro uživatele, který obor vytvořil. Pokud váš účet nemá plán Azure Databricks Premium , musíte toto výchozí nastavení přepsat a explicitně udělit oprávnění uživatelům (všichni uživatelé) při vytváření oboru:

databricks secrets create-scope --scope <scope-name> --initial-manage-principal users

Obor tajných kódů na straně Databricks můžete vytvořit také pomocí operace Secrets API Put Secret.

Pokud má váš účet plán Azure Databricks Premium ,můžete oprávnění kdykoli po vytvoření oboru změnit. Podrobnosti najdete v tématu Řízení přístupu k tajným kódem.

Po vytvoření oboru tajných kódů, který je pod datovou službou Databricks, můžete přidat tajné kódy.

Zobrazení seznamu rozsahů tajných

Zobrazení seznamu existujících oborů v pracovním prostoru pomocí rozhraní příkazového řádku:

databricks secrets list-scopes

K zobrazení seznamu existujících oborů můžete použít také operaci seznam tajných kódů rozhraní API pro tajné kódy.

Odstranění rozsahu tajných kódů

Odstraněním oboru tajných kódů se odstraní všechny tajné kódy a seznamy ACL použité v oboru. Odstranění oboru pomocí rozhraní příkazového řádku:

databricks secrets delete-scope --scope <scope-name>

Obor tajných kódů můžete také odstranit pomocí operace Odstranění rozsahu tajného klíče rozhraní API.