Toegangsbeheer voor geheimen

Standaard kunnen alle gebruikers in alle prijsplannen geheimen en geheime scopes maken. Met behulp van toegangsbeheer voor geheimen, dat beschikbaar is Azure Databricks Premium abonnement,kunt u fijngranenteerde machtigingen configureren voor het beheren van toegangsbeheer. In deze handleiding wordt beschreven hoe u deze besturingselementen in kunt stellen.

Notitie

  • Toegangsbeheer is alleen beschikbaar in Azure Databricks Premium abonnement. Als uw account het Standaardplan heeft, moet u expliciet machtigingen verlenen aan de groep MANAGE 'gebruikers' (alle gebruikers) wanneer u MANAGE

  • In dit artikel wordt beschreven hoe u toegangsbeheer voor geheimen beheert met behulp van de Databricks CLI (versie 0.7.1 en hoger). U kunt ook de Secrets API 2.0 gebruiken.

Toegangsbeheer voor geheimen

Toegangsbeheer voor geheimen wordt beheerd op het niveau van het geheime bereik. Een toegangsbeheerlijst (ACL) definieert een relatie tussen een Azure Databricks-principal (gebruiker of groep), geheim bereik en machtigingsniveau. Over het algemeen gebruikt een gebruiker de krachtigste machtiging die beschikbaar is (zie Machtigingsniveaus).

Wanneer een geheim wordt gelezen via een notebook met behulp van het hulpprogramma Geheimen (dbutils.secrets),wordt de machtiging van de gebruiker toegepast op basis van wie de opdracht uitvoert en moet deze ten minste over de machtiging LEZEN hebben.

Wanneer een bereik wordt gemaakt, wordt een eerste ACL op het machtigingsniveau BEHEREN toegepast op het bereik. Volgende configuraties voor toegangsbeheer kunnen door die principal worden uitgevoerd.

Machtigingsniveaus

De machtigingen voor geheime toegang zijn als volgt:

  • BEHEREN: mag ACL's wijzigen en lezen en schrijven naar dit geheime bereik.
  • SCHRIJVEN: mag lezen en schrijven naar dit geheime bereik.
  • LEZEN: toegestaan om dit geheime bereik te lezen en te zien welke geheimen beschikbaar zijn.

Elk machtigingsniveau is een subset van de machtigingen van het vorige niveau (dat wil zeggen, een principal met SCHRIJFmachtiging voor een bepaald bereik kan alle acties uitvoeren waarvoor leesmachtiging is vereist).

Notitie

Databricks-beheerders hebben BEHEER-machtigingen voor alle geheime scopes in de werkruimte.

Een geheime ACL maken

Een geheime ACL maken voor een bepaald geheim bereik met behulp van de Databricks CLI (versie 0.7.1 en hoger):

databricks secrets put-acl --scope <scope-name> --principal <principal> --permission <permission>

Als u een put-aanvraag maakt voor een principal die al een toegepaste machtiging heeft, wordt het bestaande machtigingsniveau overschreven.

Geheime ACL's weergeven

Alle geheime ACL's voor een bepaald geheim bereik weergeven:

databricks secrets list-acls --scope <scope-name>

De geheime ACL toepassen op een principal voor een bepaald geheimbereik:

databricks secrets get-acl --scope <scope-name> --principal <principal>

Als er geen ACL bestaat voor de opgegeven principal en het bereik, mislukt deze aanvraag.

Een geheime ACL verwijderen

Een geheime ACL verwijderen die is toegepast op een principal voor een bepaald geheimbereik:

databricks secrets delete-acl --scope <scope-name> --principal <principal>