Åtkomstkontroll till hemlighet

Som standard kan alla användare i alla prisplaner skapa hemligheter och hemlighetsomfång. Med hjälp av hemlig åtkomstkontroll, som är Azure Databricks Premium i Planera,kan du konfigurera mer information om hur du hanterar åtkomstkontroll. Den här guiden beskriver hur du ställer in dessa kontroller.

Anteckning

  • Åtkomstkontroll är endast tillgängligt i Azure Databricks Premium Plan. Om ditt konto har standardplanen måste du uttryckligen bevilja behörighet till gruppen MANAGE "användare" (alla användare) när du MANAGE

  • I den här artikeln beskrivs hur du hanterar hemlig åtkomstkontroll med hjälp av Databricks CLI (version 0.7.1 och senare). Du kan också använda Hemlighets-API 2.0.

Åtkomstkontroll till hemlighet

Åtkomstkontroll för hemligheter hanteras på nivån för hemlighetsomfång. En åtkomstkontrollista (ACL) definierar en relation mellan ett Azure Databricks (användare eller grupp), hemligt omfång och behörighetsnivå. I allmänhet använder en användare den mest kraftfulla behörigheten som är tillgänglig för dem (se Behörighetsnivåer).

När en hemlighet läses via en notebook-fil med verktyget Hemligheter (dbutils.secrets)tillämpas användarens behörighet baserat på vem som kör kommandot och användaren måste minst ha LÄS-behörighet.

När ett omfång skapas tillämpas en inledande HANTERA behörighetsnivå-ACL på omfånget. Efterföljande konfigurationer för åtkomstkontroll kan utföras av detta huvudnamn.

Behörighetsnivåer

De hemliga åtkomstbehörigheterna är följande:

  • HANTERA – Tillåts ändra ACL:er och läsa och skriva till det här hemlighetsomfånget.
  • WRITE – Tillåts att läsa och skriva till det här hemlighetsomfånget.
  • LÄS – Tillåts att läsa det här hemlighetsomfånget och lista vilka hemligheter som är tillgängliga.

Varje behörighetsnivå är en delmängd av den föregående nivåns behörigheter (det vill säga att ett huvudnamn med SKRIV-behörighet för ett visst omfång kan utföra alla åtgärder som kräver LÄS-behörighet).

Anteckning

Databricks-administratörer har MANAGE-behörigheter för alla hemlighetsomfång på arbetsytan.

Skapa en hemlig ACL

Så här skapar du en hemlig ACL för ett visst hemlighetsomfång med hjälp av Databricks CLI (version 0.7.1 och senare):

databricks secrets put-acl --scope <scope-name> --principal <principal> --permission <permission>

Om du gör en put-begäran för ett huvudnamn som redan har en tillämpad behörighet skriver den befintliga behörighetsnivån över.

Visa hemliga ACL:er

Så här visar du alla hemliga ACL:er för ett visst hemlighetsomfång:

databricks secrets list-acls --scope <scope-name>

Så här hämtar du den hemliga ACL:en som tillämpas på ett huvudnamn för ett visst hemlighetsomfång:

databricks secrets get-acl --scope <scope-name> --principal <principal>

Om det inte finns någon ACL för det angivna huvud- och omfånget misslyckas den här begäran.

Ta bort en hemlig ACL

Så här tar du bort en hemlig ACL som tillämpas på ett huvudnamn för ett visst hemlighetsomfång:

databricks secrets delete-acl --scope <scope-name> --principal <principal>