Rozsahy tajných kódů

Správa tajných kódů začíná vytvořením oboru tajných kódů. Obor tajného kódu je kolekce tajných kódů identifikovaných názvem.

Pracovní prostor je omezen na maximálně 1 000 oborů tajných kódů. Pokud potřebujete víc, obraťte se na tým podpory Azure Databricks.

Poznámka:

Databricks doporučuje sladit rozsahy tajných kódů s rolemi nebo aplikacemi, nikoli s jednotlivci.

Přehled

Existují dva typy rozsahu tajných kódů: podporované Azure Key Vault a Databricks.

Obory založené na službě Azure Key Vault

Pokud chcete odkazovat na tajné kódy uložené ve službě Azure Key Vault, můžete vytvořit obor tajných kódů založený na službě Azure Key Vault. Pak můžete využít všechny tajné kódy v odpovídající instanci služby Key Vault z tohoto oboru tajných kódů. Vzhledem k tomu, že obor tajných kódů založený na službě Azure Key Vault je rozhraní jen pro čtení se službou Key Vault, PutSecretDeleteSecreta operace rozhraní API tajných kódů nejsou povolené. Pokud chcete spravovat tajné kódy ve službě Azure Key Vault, musíte použít rozhraní REST API služby Azure Set Secret nebo uživatelské rozhraní webu Azure Portal.

Obory založené na Databricks

Rozsah tajných kódů podporovaný službou Databricks je uložený (podporovaný) v šifrované databázi vlastněné a spravované službou Azure Databricks. Název oboru tajného kódu:

• Musí být v rámci pracovního prostoru jedinečný.
• Musí obsahovat alfanumerické znaky, pomlčky, @podtržítka a tečky a nesmí být delší než 128 znaků.

Názvy jsou považovány za nerozlišitelné a jsou čitelné všemi uživateli v pracovním prostoru.

Rozsah tajných kódů založený na Databricks vytvoříte pomocí rozhraní příkazového řádku Databricks (verze 0.205 a vyšší). Alternativně můžete použít rozhraní API pro tajné kódy.

Oprávnění oboru

Obory se vytvářejí s oprávněními řízenými tajnými seznamy ACL. Ve výchozím nastavení se obory vytvářejí s oprávněním MANAGE pro uživatele, který obor vytvořil (tvůrce), který autorovi umožní číst tajné kódy v oboru, zapisovat tajné kódy do oboru a měnit seznamy ACL pro tento obor. Pokud má váš účet plán Premium, můžete po vytvoření oboru kdykoli přiřadit podrobná oprávnění. Podrobnosti najdete v tématu Seznamy ACL tajných kódů.

Při vytváření oboru můžete také přepsat výchozí a explicitně udělit oprávnění MANAGE všem uživatelům. Ve skutečnosti to musíte udělat, pokud váš účet nemá plán Premium.

Poznámka:

Seznamy ACL tajných kódů jsou na úrovni oboru. Pokud používáte obory založené na službě Azure Key Vault, mají uživatelé s uděleným přístupem k oboru přístup ke všem tajným kódům ve službě Azure Key Vault. Pokud chcete omezit přístup, použijte samostatné instance služby Azure Key Vault.

Vytvoření oboru tajných kódů založených na službě Azure Key Vault

Tato část popisuje, jak vytvořit obor tajných kódů založený na službě Azure Key Vault pomocí webu Azure Portal a uživatelského rozhraní pracovního prostoru Azure Databricks. Pomocí rozhraní příkazového řádku Databricks můžete také vytvořit obor tajných kódů založený na službě Azure Key Vault.

Požadavky

• V instanci služby Azure Key Vault, kterou chcete použít k zálohování oboru tajných kódů, musíte mít roli Přispěvatel, Přispěvatel nebo Vlastník služby Key Vault.

  Pokud nemáte instanci trezoru klíčů, postupujte podle pokynů v tématu Vytvoření služby Key Vault pomocí webu Azure Portal.

  Poznámka:

  Vytvoření oboru tajných kódů založeného na službě Azure Key Vault vyžaduje roli přispěvatele nebo vlastníka v instanci trezoru klíčů Azure, i když byla dříve službě Azure Databricks udělen přístup k trezoru klíčů.

  Pokud trezor klíčů existuje v jiném tenantovi než pracovní prostor Azure Databricks, musí mít uživatel Azure AD, který vytváří obor tajných kódů, oprávnění k vytváření instančních objektů v tenantovi trezoru klíčů. V opačném případě dojde k následující chybě:

  Unable to grant read/list permission to Databricks service principal to KeyVault 'https://xxxxx.vault.azure.net/': Status code 403, {"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privileges to complete the operation."},"requestId":"XXXXX","date":"YYYY-MM-DDTHH:MM:SS"}}
  

Konfigurace instance služby Azure Key Vault pro Azure Databricks

1. Přihlaste se k webu Azure Portal, vyhledejte a vyberte instanci trezoru klíčů Azure.

2. V části Nastavení vyberte kartu Konfigurace aplikace Access.

3. Nastavte model oprávnění na zásady přístupu trezoru.

   Poznámka:

   Vytvoření role oboru tajných kódů založené na službě Azure Key Vault uděluje oprávnění Get a List k ID aplikace pro službu Azure Databricks pomocí zásad přístupu trezoru klíčů. Model oprávnění řízení přístupu na základě role v Azure se v současné době v Azure Databricks nepodporuje.

4. V části Nastavení vyberte kartu Sítě.

5. V bránách firewall a virtuálních sítích nastavte Povolit přístup z: Povolit veřejný přístup z konkrétních virtuálních sítí a IP adres.

   V části Výjimka zaškrtněte políčko Povolit důvěryhodné služby Microsoft obejít tuto bránu firewall.

   Poznámka:

   Můžete také nastavit Povolit přístup z: na Povolit veřejný přístup ze všech sítí.

Vytvoření rozsahu tajných kódů ve službě Azure Key Vault

1. Přejděte na https://<databricks-instance>#secrets/createScope. Nahraďte <databricks-instance> adresou URL pracovního prostoru vašeho nasazení Azure Databricks. U této adresy URL se rozlišují malá a velká písmena (obor createScope musí být velkými písmeny).

   

2. Zadejte název oboru tajného kódu. V názvech rozsahů tajných kódů se nerozlišují malá a velká písmena.

3. Pomocí rozevíracího seznamu Spravovat objekt zabezpečení určete, jestli mají všichni uživatelé oprávnění MANAGE pro tento obor tajných kódů, nebo jenom tvůrce oboru tajného kódu (to znamená, že jste).

   OPRÁVNĚNÍ MANAGE umožňuje uživatelům číst a zapisovat do tohoto oboru tajných kódů a v případě účtů v plánu Premium měnit oprávnění pro tento obor.

   Váš účet musí mít plán Premium, abyste mohli vybrat Tvůrce. Toto je doporučený přístup: Při vytváření oboru tajného kódu udělte Tvůrci oprávnění MANAGE a po otestování oboru přiřaďte podrobnější přístupová oprávnění. Příklad pracovního postupu najdete v příkladu pracovního postupu tajného kódu.

   Pokud má váš účet plán Standard, musíte nastavit oprávnění MANAGE pro skupinu Všichni uživatelé. Pokud tady vyberete Tvůrce , při pokusu o uložení oboru se zobrazí chybová zpráva.

   Další informace o oprávnění SPRAVOVAT naleznete v tématu Seznamy ACL tajných kódů.

4. Zadejte název DNS (napříkladhttps://databrickskv.vault.azure.net/) a ID prostředku, například:

   /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/databricks-rg/providers/Microsoft.KeyVault/vaults/databricksKV
   

   Tyto vlastnosti jsou k dispozici na kartě Vlastnosti služby Azure Key Vault na webu Azure Portal.

   

5. Klikněte na tlačítko Vytvořit.

6. Pomocí příkazu Rozhraní příkazového řádkudatabricks secrets list-scopes Databricks ověřte, že se obor úspěšně vytvořil.

Vytvoření oboru tajných kódů založených na Databricks

V názvech rozsahů tajných kódů se nerozlišují malá a velká písmena.

Vytvoření oboru pomocí rozhraní příkazového řádku Databricks:

databricks secrets create-scope <scope-name>

Ve výchozím nastavení se obory vytvářejí s oprávněním MANAGE pro uživatele, který obor vytvořil. Pokud váš účet nemá plán Premium, musíte toto výchozí nastavení přepsat a explicitně udělit oprávnění MANAGE "uživatelům" (všichni uživatelé) při vytváření oboru:

databricks secrets create-scope <scope-name> --initial-manage-principal users

Pomocí rozhraní API pro tajné kódy můžete také vytvořit obor tajných kódů založený na Databricks.

Pokud má váš účet plán Premium, můžete oprávnění kdykoli změnit po vytvoření oboru. Podrobnosti najdete v tématu Seznamy ACL tajných kódů.

Jakmile vytvoříte obor tajných kódů založený na Databricks, můžete přidat tajné kódy.

Výpis oborů tajných kódů

Zobrazení seznamu existujících oborů v pracovním prostoru pomocí rozhraní příkazového řádku:

databricks secrets list-scopes

Pomocí rozhraní API pro tajné kódy můžete také vypsat existující obory.

Odstranění rozsahu tajných kódů

Odstraněním oboru tajných kódů odstraníte všechny tajné kódy a seznamy ACL použité v oboru. Pokud chcete odstranit obor pomocí rozhraní příkazového řádku, spusťte následující příkaz:

databricks secrets delete-scope <scope-name>

Rozsah tajných kódů můžete také odstranit pomocí rozhraní API pro tajné kódy.