Ámbitos de secretos

La administración de secretos comienza con la creación de un ámbito de secreto. Un ámbito secreto es una colección de secretos identificados por un nombre. Un área de trabajo está limitada a un máximo de 100 ámbitos secretos.

Información general

Hay dos tipos de ámbito de secreto: Azure Key Vault con copia de seguridad y con el respaldo de Databricks.

Ámbitos con respaldo de Azure Key Vault

Para hacer referencia a los secretos almacenados Azure Key Vault, puede crear un ámbito de secreto con el respaldo de Azure Key Vault. A continuación, puede aprovechar todos los secretos de la instancia Key Vault correspondiente desde ese ámbito secreto. Dado que Azure Key Vault de secretos con copia de seguridad es una interfaz de solo lectura para el Key Vault, no se permiten las operaciones de y PutSecretDeleteSecretPutSecret Para administrar secretos en Azure Key Vault, debe usar la API rest SetSecret de Azure o la interfaz Azure Portal usuario.

Ámbitos con respaldo de Databricks

Un ámbito de secretos con respaldo de Databricks se almacena en (con el respaldo) de una base de datos cifrada propiedad y administrada por Azure Databricks. Nombre del ámbito del secreto:

• Debe ser único dentro de un área de trabajo.
• Debe constar de caracteres alfanuméricos, guiones, caracteres de subrayado y puntos, y no puede superar los 128 caracteres.

Los nombres se consideran no confidenciales y todos los usuarios del área de trabajo pueden leer los nombres.

Cree un ámbito de secretos con respaldo de Databricks mediante la CLI de Databricks (versión 0.7.1 y posteriores). Como alternativa, puede usar Secrets API 2.0.

Permisos de ámbito

Los ámbitos se crean con permisos controlados por acl. De forma predeterminada, los ámbitos se crean con permiso para el usuario que creó el ámbito (el "creador"), lo que permite al creador leer secretos en el ámbito, escribir secretos en el ámbito y cambiar las ACL del MANAGE ámbito. Si la cuenta tiene el plan Azure Databricks Premium, puede asignar permisos pormenorizados en cualquier momento después de crear el ámbito. Para más información, consulte Control de acceso secreto.

También puede invalidar el valor predeterminado y conceder explícitamente MANAGE permiso a todos los usuarios al crear el ámbito. De hecho, debe hacerlo si su cuenta no tiene el Azure Databricks Premium Plan.

Procedimientos recomendados

Como responsable de equipo, es posible que quiera crear distintos ámbitos para las credenciales de Azure Synapse Analytics y Azure Blob Storage y, a continuación, proporcionar a los distintos subgrupos del equipo acceso a esos ámbitos. Debe considerar cómo lograr esto mediante los distintos tipos de ámbito:

• Si usa un ámbito con el respaldo de Databricks y agrega los secretos en esos dos ámbitos, serán secretos diferentes (Azure Synapse Analytics en el ámbito 1 y Azure Blob Storage en el ámbito 2).
• Si usa un ámbito con respaldo de Azure Key Vault con cada ámbito que hace referencia a un Azure Key Vault diferente y agrega los secretos a esos dos almacenes de Azure Key Vault, serán conjuntos diferentes de secretos (Azure Synapse Analytics en el ámbito 1 y Azure Blob Storage en el ámbito 2). Funcionarán como ámbitos con el respaldo de Databricks.
• Si usa dos ámbitos con Azure Key Vault con ambos ámbitos que hacen referencia al mismo Azure Key Vault y agrega los secretos a ese Azure Key Vault, estarán disponibles todos los secretos de Azure Synapse Analytics y Azure Blob Storage. Dado que las ACL están en el nivel de ámbito, todos los miembros de los dos subgrupos verán todos los secretos. Esta disposición no satisface el caso de uso de restringir el acceso a un conjunto de secretos a cada grupo.

Creación de un ámbito Azure Key Vault de secretos con copia de seguridad

Puede crear un ámbito de secreto Azure Key Vault con copia de seguridad mediante la interfaz de usuario o mediante la CLI de Databricks.

Creación de un ámbito de secreto con el respaldo de Azure Key Vault mediante la interfaz de usuario

1. Compruebe que tiene el permiso Colaborador en la Azure Key Vault que desea usar para hacer una copia de seguridad del ámbito del secreto.

   Si no tiene una instancia de Key Vault, siga las instrucciones de Inicio rápido:Creación de una Key Vault mediante el Azure Portal .

2. Ir a https://<databricks-instance>#secrets/createScope. Esta dirección URL distingue mayúsculas de minúsculas; el ámbito createScope de debe estar en mayúsculas.

   

3. Escriba el nombre del ámbito del secreto. Los nombres de ámbito de los secretos no distinguen mayúsculas de minúsculas.

4. Use la lista desplegable Administrar entidad de seguridad para especificar si Todos los usuarios tienen permiso para este ámbito de secreto o solo el creador del ámbito secreto (es decir, usted).

   MANAGEel permiso permite a los usuarios leer y escribir en este ámbito secreto y, en el caso de las cuentas de MANAGE, cambiar los permisos para el ámbito.

   Su cuenta debe tener el Azure Databricks Premium plan para que pueda seleccionar Creator. Este es el enfoque recomendado: conceder permiso al creador al crear el ámbito de secreto y, a continuación, asignar permisos de acceso más pormenorizados después de haber probado MANAGE el ámbito. MANAGE Para obtener un flujo de trabajo de ejemplo, vea Ejemplo de flujo de trabajo secreto.

   Si su cuenta tiene el plan estándar, debe establecer el MANAGE permiso en el grupo "Todos los usuarios". Si selecciona Creator aquí, verá un mensaje de error al intentar guardar el ámbito.

   Para obtener más información sobre el MANAGE permiso, vea MANAGE

5. Escriba el nombre DNS (por ejemplo, ) y el identificador de recurso, por ejemplo:

   /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/databricks-rg/providers/Microsoft.KeyVault/vaults/databricksKV
   

   Estas propiedades están disponibles en la pestaña Propiedades de un Azure Key Vault en el Azure Portal.

   

6. Haga clic en el botón Crear.

7. Use el comando de la CLI de Databricks para comprobar que el ámbito se creó correctamente.

Para obtener un ejemplo del uso de secretos al acceder a Azure Blob Storage, consulte Montaje de un contenedor de Azure Blob Storage.

Creación de un ámbito de secreto con el respaldo de Azure Key Vault mediante la CLI de Databricks

1. Instale la CLI y configúrela para usar un token Azure Active Directory (Azure AD) para la autenticación.

   Importante

   Necesita un token Azure AD usuario para crear un ámbito de secreto Azure Key Vault con copia de seguridad con la CLI de Databricks. No puede usar un token Azure Databricks de acceso personal o un token Azure AD de aplicación que pertenezca a una entidad de servicio.

   Si el almacén de claves existe en un inquilino diferente del área de trabajo de Azure Databricks, el usuario de Azure AD que crea el ámbito del secreto debe tener permiso para crear entidades de servicio en el inquilino del almacén de claves. De lo contrario, se produce el siguiente error:

   Unable to grant read/list permission to Databricks service principal to KeyVault 'https://xxxxx.vault.azure.net/': Status code 403, {"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privileges to complete the operation."},"requestId":"XXXXX","date":"YYYY-MM-DDTHH:MM:SS"}}
   

2. Cree el Azure Key Vault de la aplicación:

   databricks secrets create-scope --scope <scope-name> --scope-backend-type AZURE_KEYVAULT --resource-id <azure-keyvault-resource-id> --dns-name <azure-keyvault-dns-name>
   

   De forma predeterminada, los ámbitos se crean MANAGE con permiso para el usuario que creó el ámbito. Si su cuenta no tiene el plan de Azure Databricks Premium , debe invalidar ese valorpredeterminado y conceder explícitamente el permiso al grupo (todos los usuarios) al crear el users ámbito:

    databricks secrets create-scope --scope <scope-name> --scope-backend-type AZURE_KEYVAULT --resource-id <azure-keyvault-resource-id> --dns-name <azure-keyvault-dns-name> --initial-manage-principal users
   

   Si su cuenta está en el plan Azure Databricks Premium, puede cambiar los permisos en cualquier momento después de crear el ámbito. Para más información, consulte Control de acceso secreto.

   Una vez que haya creado un ámbito de secretos con respaldo de Databricks, puede agregar secretos.

Para obtener un ejemplo del uso de secretos al acceder a Azure Blob Storage, consulte Montaje de un contenedor de Azure Blob Storage.

Creación de un ámbito de secreto compatible con Databricks

Los nombres de ámbito de los secretos no distinguen mayúsculas de minúsculas.

Para crear un ámbito mediante la CLI de Databricks:

databricks secrets create-scope --scope <scope-name>

De forma predeterminada, los ámbitos se crean MANAGE con permiso para el usuario que creó el ámbito. Si su cuenta no tiene el plan de Azure Databricks Premium, debe invalidar ese valor predeterminado y conceder explícitamente el permiso a "usuarios" (todos los usuarios) al crear el ámbito:

databricks secrets create-scope --scope <scope-name> --initial-manage-principal users

También puede crear un ámbito de secretos con el respaldo de Databricks mediante la operación Secrets API Put secret.

Si la cuenta tiene la Azure Databricks Premium plan, puede cambiar los permisos en cualquier momento después de crear el ámbito. Para más información, consulte Control de acceso secreto.

Una vez que haya creado un ámbito de secretos con respaldo de Databricks, puede agregar secretos.

Enumeración de ámbitos de secretos

Para enumerar los ámbitos existentes en un área de trabajo mediante la CLI:

databricks secrets list-scopes

También puede enumerar los ámbitos existentes mediante la operación Lista de secretos de la API de secretos.

Eliminación de un ámbito de secreto

Al eliminar un ámbito de secreto, se eliminan todos los secretos y acl aplicados al ámbito. Para eliminar un ámbito mediante la CLI:

databricks secrets delete-scope --scope <scope-name>

También puede eliminar un ámbito de secreto mediante la operación de eliminación del ámbito del secreto de Secrets API.