Geheime bereiken

  • Artikel
  • 6 minuten om te lezen

Het beheren van geheimen begint met het maken van een geheim bereik. Een geheim bereik is een verzameling geheimen die worden geïdentificeerd door een naam. Een werkruimte is beperkt tot maximaal 100 geheime scopes.

Overzicht

Er zijn twee soorten geheim bereik: Azure Key Vault en databricks-back-backed.

Azure Key Vault-back-scopes

Als u wilt verwijzen naar geheimen die zijn opgeslagenin Azure Key Vault , kunt u een geheim bereik maken dat wordt Azure Key Vault. Vervolgens kunt u gebruikmaken van alle geheimen in het bijbehorende Key Vault-exemplaar van dat geheime bereik. Omdat het Azure Key Vault geheim bereik een alleen-lezen interface is voor de Key Vault, zijn de bewerkingen en PutSecretDeleteSecretPutSecret niet toegestaan. Als u geheimen in Azure Key Vault wilt beheren, moet u de Azure SetSecret-REST API of Azure Portal gebruiken.

Databricks-scopes

Een geheim bereik met Databricks-back-end wordt opgeslagen in een versleutelde database die eigendom is van en wordt beheerd door Azure Databricks. De naam van het geheime bereik:

  • Moet uniek zijn binnen een werkruimte.
  • Moet bestaan uit alfanumerieke tekens, streepjes, onderstrepingstekens en punten en mag niet langer zijn dan 128 tekens.

De namen worden beschouwd als niet-gevoelig en kunnen worden gelezen door alle gebruikers in de werkruimte.

U maakt een geheim bereik met Databricks-basis met behulp van de Databricks CLI (versie 0.7.1 en hoger). U kunt ook de Secrets API 2.0 gebruiken.

Bereikmachtigingen

Scopes worden gemaakt met machtigingen die worden beheerd door ACL's. Standaard worden scopes gemaakt met machtigingen voor de gebruiker die het bereik heeft gemaakt (de maker), waarmee de maker geheimen in het bereik kan lezen, geheimen naar het bereik kan schrijven en ACL's voor het bereik kan MANAGE wijzigen. Als uw account het abonnement Azure Databricks Premium,kunt u op elk moment gedetailleerde machtigingen toewijzen nadat u het bereik hebt gemaakt. Zie Toegangsbeheer voor geheimen voor meer informatie.

U kunt ook de standaardinstelling overschrijven en expliciet machtigingen verlenen MANAGE aan alle gebruikers wanneer u het bereik maakt. U moet dit zelfs doen als uw account niet over de Azure Databricks Premium abonnement.

Best practices

Als teamleider wilt u mogelijk verschillende bereiken maken voor Azure Synapse Analytics- en Azure Blob Storage-referenties en vervolgens verschillende subgroepen in uw team toegang geven tot deze bereiken. U moet overwegen hoe u dit kunt doen met behulp van de verschillende bereiktypen:

  • Als u een bereik met Databricks-ondersteuning gebruikt en de geheimen in deze twee scopes toevoegt, zijn dit verschillende geheimen (Azure Synapse Analytics in bereik 1 en Azure Blob Storage in bereik 2).
  • Als u een bereik met Azure Key Vault-ondersteuning gebruikt met elk bereik dat verwijst naar een andere Azure Key Vault en uw geheimen toevoegt aan deze twee Azure Key Vaults, zijn het verschillende sets geheimen (Azure Synapse Analytics geheimen in bereik 1 en Azure Blob Storage in bereik 2). Deze werken als scopes met Databricks-back-token.
  • Als u twee Azure Key Vault-scopes gebruikt met beide scopes die naar dezelfde Azure Key Vault verwijzen en uw geheimen toevoegen aan die Azure Key Vault, zijn alle Azure Synapse Analytics- en Azure Blob Storage-geheimen beschikbaar. Aangezien ACL's zich op het bereikniveau hebben, zien alle leden in de twee subgroepen alle geheimen. Deze rangschikking voldoet niet aan uw gebruikscase van het beperken van toegang tot een set geheimen voor elke groep.

Een geheim bereik Azure Key Vault met back-Azure Key Vault maken

U kunt een geheim bereik Azure Key Vault maken met behulp van de gebruikersinterface of met behulp van de Databricks CLI.

Een geheim bereik Azure Key Vault met back-Azure Key Vault met behulp van de gebruikersinterface

  1. Controleer of u inzendermachtigingen hebt voor het Azure Key Vault-exemplaar dat u wilt gebruiken om het geheime bereik te back-overen.

    Als u geen exemplaar van Key Vault hebt, volgt u de instructies in Quickstart: EenKey Vault maken met behulp van Azure Portal .

  2. Ga naar https://<databricks-instance>#secrets/createScope. Deze URL is casegevoelig; bereik in createScope moet hoofdletters zijn.

    Bereik maken

  3. Voer de naam van het geheime bereik in. Namen van geheime bereiken zijn niet hoofdlettergevoelig.

  4. Gebruik de vervolgkeuzeruimte Principal beheren om op te geven of Alle gebruikers machtigingen hebben voor dit geheime bereik of alleen de Maker van het geheime bereik (dat wil zeggen u).

    MANAGEmet de machtiging kunnen gebruikers dit geheime bereik lezen en schrijven, en, in het geval van accounts op het MANAGEmachtigingen voor het bereik wijzigen.

    Uw account moet de Azure Databricks Premium hebben om Creator te kunnen selecteren. Dit is de aanbevolen methode: verleen toestemming aan de Maker wanneer u het geheime bereik maakt en wijs gedetailleerdere toegangsmachtigingen toe nadat u MANAGE het bereik hebt getest. MANAGE Zie Voorbeeld van een geheime werkstroom voor een voorbeeldwerkstroom.

    Als uw account het standaardplan heeft, moet u de machtiging instellen op de groep MANAGE Alle gebruikers. Als u hier Creator selecteert, wordt er een foutbericht weergegeven wanneer u het bereik probeert op te slaan.

    Zie Toegangsbeheer voor MANAGE geheimen voor meer informatie over de MANAGE

  5. Voer de DNS-naam (bijvoorbeeld ) en resource-idin, bijvoorbeeld:

    /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/databricks-rg/providers/Microsoft.KeyVault/vaults/databricksKV

    Deze eigenschappen zijn beschikbaar op het tabblad Eigenschappen van een Azure Key Vault in uw Azure Portal.

    Azure Key Vault tabblad Eigenschappen

  6. Klik op de knop Maken.

  7. Gebruik de Databricks CLI-opdracht om te controleren of het bereik is gemaakt.

Zie Een Azure Blob Storage-container mounten voor een voorbeeld van het gebruik van geheimen bij het openen van Azure Blob Storage.

Een geheim bereik Azure Key Vault back-Azure Key Vault met behulp van de Databricks CLI

  1. Installeer de CLI en configureer deze voor het gebruik van een Azure Active Directory (Azure AD)-token voor verificatie.

    Belangrijk

    U hebt een Azure AD-gebruiker-token nodig om een Azure Key Vault te maken met de Databricks CLI. U kunt geen persoonlijk Azure Databricks of een Azure AD-toepassings token gebruiken dat bij een service-principal hoort.

    Als de sleutelkluis in een andere tenant dan de Azure Databricks-werkruimte bestaat, moet de Azure AD-gebruiker die het geheime bereik maakt, toestemming hebben om service-principals te maken in de tenant van de sleutelkluis. Anders treedt de volgende fout op:

    Unable to grant read/list permission to Databricks service principal to KeyVault 'https://xxxxx.vault.azure.net/': Status code 403, {"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privileges to complete the operation."},"requestId":"XXXXX","date":"YYYY-MM-DDTHH:MM:SS"}}

  2. Maak het Azure Key Vault bereik:

    databricks secrets create-scope --scope <scope-name> --scope-backend-type AZURE_KEYVAULT --resource-id <azure-keyvault-resource-id> --dns-name <azure-keyvault-dns-name>

    Standaard worden scopes gemaakt met MANAGE machtigingen voor de gebruiker die het bereik heeft gemaakt. Als uw account niet het Azure Databricks Premium-abonnementheeft, moet u die standaardinstelling overschrijven en expliciet de machtiging aan de groep (alle gebruikers) verlenen wanneer u het bereik users maakt:

     databricks secrets create-scope --scope <scope-name> --scope-backend-type AZURE_KEYVAULT --resource-id <azure-keyvault-resource-id> --dns-name <azure-keyvault-dns-name> --initial-manage-principal users

    Als uw account zich in het Azure Databricks Premium-abonnement, kunt u de machtigingen op elk moment wijzigen nadat u het bereik hebt gemaakt. Zie Toegangsbeheer voor geheimen voor meer informatie.

    Nadat u een geheim bereik met Databricks-back-overvoeging hebt gemaakt, kunt u geheimen toevoegen.

Zie Een Azure Blob Storage-container mounten voor een voorbeeld van het gebruik van geheimen bij het openen van Azure Blob Storage.

Een geheim bereik maken dat door Databricks wordt ondersteund

Namen van geheime bereiken zijn niet hoofdlettergevoelig.

Een bereik maken met behulp van de Databricks CLI:

databricks secrets create-scope --scope <scope-name>

Standaard worden scopes gemaakt met MANAGE machtigingen voor de gebruiker die het bereik heeft gemaakt. Als uw account niet het Azure Databricks Premium-abonnement heeft, moet u die standaardinstelling overschrijven en expliciet de machtiging aan 'gebruikers' (alle gebruikers) verlenen wanneer u het bereik maakt:

databricks secrets create-scope --scope <scope-name> --initial-manage-principal users

U kunt ook een geheim bereik met Databricks-back-to-date maken met behulp van de bewerking Geheimen-API Geheim maken.

Als uw account het abonnement Azure Databricks Premium,kunt u de machtigingen op elk moment wijzigen nadat u het bereik hebt gemaakt. Zie Toegangsbeheer voor geheimen voor meer informatie.

Nadat u een geheim bereik met Databricks-back-overvoeging hebt gemaakt, kunt u geheimen toevoegen.

Geheime scopes op een lijst zetten

De bestaande scopes in een werkruimte op een lijst zetten met behulp van de CLI:

databricks secrets list-scopes

U kunt ook bestaande scopes weer geven met behulp van de bewerking Geheimen-API-lijst met geheimen.

Een geheim bereik verwijderen

Als u een geheim bereik verwijdert, worden alle geheimen en ACL's verwijderd die op het bereik zijn toegepast. Een bereik verwijderen met behulp van de CLI:

databricks secrets delete-scope --scope <scope-name>

U kunt ook een geheim bereik verwijderen met behulp van de bewerking Geheimen-API Geheim bereik verwijderen.