Partager via


CLI Secrets (héritée)

Important

Cette documentation a été mise hors service et peut ne pas être mise à jour.

Ces informations s’appliquent à l’interface CLI Databricks héritée version 0.18 et versions antérieures. Databricks vous recommande d’utiliser à la place la nouvelle version 0.205 ou supérieure de l’interface CLI Databricks. Consultez Qu’est-ce que l’interface CLI Databricks ?. Pour trouver votre version de l’interface CLI Databricks, exécutez databricks -v.

Pour migrer de l’interface CLI Databricks version 0.18 ou antérieure vers l’interface CLI Databricks version 0.205 ou ultérieure, consultez Migration de l’interface CLI Databricks.

Vous exécutez les sous-commandes de l’interface Secrets CLI du référentiel Databricks en les ajoutant à databricks secrets. Ces sous-commandes appellent l’API Secrets.

Pour plus d’informations sur les secrets, consultez Gestion des secrets.

Notes

Le Secrets CLI nécessite le CLI Databricks 0.7.1 ou une version ultérieure.

databricks secrets --help
Usage: databricks secrets [OPTIONS] COMMAND [ARGS]...

  Utility to interact with secret API.

Options:
  -v, --version   [VERSION]
  --profile TEXT  CLI connection profile to use. The default profile is
                  "DEFAULT".
  -h, --help      Show this message and exit.

Commands:
  create-scope  Creates a secret scope.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --initial-manage-principal     The initial principal that can manage the created secret scope.
                                      If specified, the initial ACL with MANAGE permission applied
                                      to the scope is assigned to the supplied principal (user or group).
                                      The only supported principal is the group
                                      "users", which contains all users in the workspace. If not
                                      specified, the initial ACL with MANAGE permission applied to
                                      the scope is assigned to request issuer's user identity.
  delete        Deletes a secret.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --key KEY                      The name of secret key.
  delete-acl    Deletes an access control rule for a principal.
    Options:
      --scope SCOPE                  The name of the scope.
      --principal PRINCIPAL          The name of the principal.
  delete-scope  Deletes a secret scope.
    Options:
      --scope SCOPE                  The name of the secret scope.
  get-acl       Gets the details for an access control rule.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --principal PRINCIPAL          The name of the principal.
      --output FORMAT                JSON or TABLE. Set to TABLE by default.
  list          Lists all the secrets in a scope.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --output FORMAT                JSON or TABLE. Set to TABLE by default.
  list-acls     Lists all access control rules for a given secret scope.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --output FORMAT                JSON or TABLE. Set to TABLE by default.
  list-scopes   Lists all secret scopes.
      --output FORMAT                JSON or TABLE. Set to TABLE by default.
  put           Puts a secret in a scope.
    Options:
      --scope SCOPE                  The name of the secret scope.
      --key KEY                      The name of the secret key.
      --string-value TEXT            Read value from string and stored in UTF-8 (MB4) form
      --binary-file PATH             Read value from binary-file and stored as bytes.
  put-acl       Creates or overwrites an access control rule for a principal
                applied to a given secret scope.
    Options:
      --scope SCOPE                    The name of the secret scope.
      --principal PRINCIPAL            The name of the principal.
      --permission [MANAGE|WRITE|READ] The permission to apply.
  write         Puts a secret in a scope. "write" is an alias for "put".
    Options:
      --scope SCOPE                  The name of the secret scope.
      --key KEY                      The name of the secret key.
      --string-value TEXT            Read value from string and stored in UTF-8 (MB4) form
      --binary-file PATH             Read value from binary-file and stored as bytes.
  write-acl     Creates or overwrites an access control rule for a principal
                applied to a given secret scope. "write-acl" is an alias for
                "put-acl".
    Options:
      --scope SCOPE                    The name of the secret scope.
      --principal PRINCIPAL            The name of the principal.
      --permission [MANAGE|WRITE|READ] The permission to apply.

Créer une étendue de secrets

Pour afficher la documentation d’utilisation, exécutez databricks secrets create-scope --help.

databricks secrets create-scope --scope my-scope

En cas de réussite, aucune sortie ne s’affiche.

Pour utiliser l’interface CLI Databricks afin de créer une étendue de secret sauvegardée par le Azure Key Vault, exécutez databricks secrets create-scope --help pour afficher des informations sur d’autres --scope-backend-type, --resource-id, et --dns-name options. Pour plus d’informations, consultez Secrets.

supprimer un secret

Pour afficher la documentation d’utilisation, exécutez databricks secrets delete --help.

databricks secrets delete --scope my-scope --key my-key

En cas de réussite, aucune sortie ne s’affiche.

Révoquer une liste de contrôle d’accès pour un principal

Pour afficher la documentation d’utilisation, exécutez databricks secrets delete-acl --help.

databricks secrets delete-acl --scope my-scope --principal someone@example.com

En cas de réussite, aucune sortie ne s’affiche.

Supprimer une étendue de secrets

Pour afficher la documentation d’utilisation, exécutez databricks secrets delete-scope --help.

databricks secrets delete-scope --scope my-scope

En cas de réussite, aucune sortie ne s’affiche.

Obtenez une liste de contrôle d’accès pour un principal

Pour afficher la documentation d’utilisation, exécutez databricks secrets get-acl --help.

databricks secrets get-acl --scope my-scope --principal someone@example.com --output JSON
{
  "principal": "sonmeone@example.com",
  "permission": "MANAGE"
}

Répertoriez les clés secrètes stockées dans une étendue secrète

Pour afficher la documentation d’utilisation, exécutez databricks secrets list --help.

databricks secrets list --scope my-scope --output JSON
{
  "secrets": [
    {
      "key": "my-key",
      "last_updated_timestamp": 1621284092605
    }
  ]
}

Notes

Vous ne pouvez pas accéder aux valeurs secrètes à l’aide de l’interface CLI Databricks. Pour accéder aux valeurs secrètes, vous devez utiliser l' utilitaire des secrets Databricks Utilities dans un bloc-notes Databricks.

Répertoriez les listes de contrôle d’accès pour une étendue secrète

Pour afficher la documentation d’utilisation, exécutez databricks secrets list-acls --help.

databricks secrets list-acls --scope my-scope --output JSON
{
  "items": [
    {
      "principal": "someone@example.com",
      "permission": "MANAGE"
    }
  ]
}

Répertorier toutes les étendues secrètes disponibles dans l’espace de travail

Pour afficher la documentation d’utilisation, exécutez databricks secrets list-scopes --help.

databricks secrets list-scopes --output JSON
{
  "scopes": [
    {
      "name": "my-scope",
      "backend_type": "DATABRICKS"
    }
  ]
}

Création ou mise à jour d’une clé secrète

Pour afficher la documentation d’utilisation, exécutez databricks secrets put --help ou databricks secrets write --help.

Il existe trois façons de stocker une clé secrète. Le moyen le plus simple consiste à utiliser l'option --string-value ; le secret est stocké au format UTF-8 (MB4). Vous devez être prudent avec cette option, car votre clé secrète peut être stockée dans votre historique de ligne de commande en texte brut.

databricks secrets put --scope my-scope --key my-key --string-value my-value

Ou :

databricks secrets write --scope my-scope --key my-key --string-value my-value

En cas de réussite, aucune sortie ne s’affiche.

Vous pouvez également utiliser l'option --binary-file pour fournir un secret stocké dans un fichier. Le contenu du fichier sera lu tel quel et stocké sous forme d'octets.

databricks secrets put --scope my-scope --key my-key --binary-file my-secret.txt

Ou :

databricks secrets write --scope my-scope --key my-key --binary-file my-secret.txt

En cas de réussite, aucune sortie ne s’affiche.

Si vous ne spécifiez pas d’option, un éditeur s’ouvre pour vous permettre d’entrer votre secret. Suivez les instructions affichées dans l’éditeur pour entrer votre secret.

databricks secrets put --scope my-scope --key my-key

Ou :

databricks secrets write --scope my-scope --key my-key

# ----------------------------------------------------------------------
# Do not edit the above line. Everything below it will be ignored.
# Please input your secret value above the line. Text will be stored in
# UTF-8 (MB4) form and any trailing new line will be stripped.
# Exit without saving will abort writing secret.

Accorder ou modifier une liste de contrôle d’accès à une étendue secrète pour un principal

Pour afficher la documentation d’utilisation, exécutez databricks secrets put-acl --help ou databricks secrets write-acl --help.

databricks secrets put-acl --scope my-scope --principal someone@example.com --permission MANAGE

Ou :

databricks secrets write-acl --scope my-scope --principal someone@example.com --permission MANAGE

En cas de réussite, aucune sortie ne s’affiche.