Hemliga omfattningar

  • Artikel
  • 6 minuter för att läsa

Hanteringen av hemligheter börjar med att skapa ett hemlighetsomfång. Ett hemlighetsomfång är en samling hemligheter som identifieras av ett namn. En arbetsyta är begränsad till högst 100 hemlighetsomfång.

Översikt

Det finns två typer av hemlighetsomfång: Azure Key Vault säkerhetskopierade och Databricks-säkerhetskopierade.

Azure Key Vault-säkerhetskopierade omfång

Om du vill referera till hemligheter som lagras i Azure Key Vaultkan du skapa ett hemlighetsomfång som backas upp av Azure Key Vault. Du kan sedan utnyttja alla hemligheter i motsvarande instans Key Vault från det hemliga omfånget. Eftersom det Azure Key Vault hemlighetsomfånget är ett skrivskyddat gränssnitt för Key Vault- och PutSecretDeleteSecretPutSecret tillåts inte. Om du vill hantera hemligheter i Azure Key Vault måste du använda Azure SetSecret-REST API eller Azure Portal användargränssnitt.

Databricks-stödda omfång

Ett Databricks-stödda hemlighetsomfång lagras i (backas upp av) en krypterad databas som ägs och hanteras av Azure Databricks. Namnet på det hemliga omfånget:

  • Måste vara unikt inom en arbetsyta.
  • Måste bestå av alfanumeriska tecken, bindestreck, understreck och punkter och får inte överskrida 128 tecken.

Namnen betraktas som icke-känsliga och kan läsas av alla användare på arbetsytan.

Du skapar ett Databricks-backat hemlighetsomfång med hjälp av Databricks CLI (version 0.7.1 och senare). Du kan också använda Hemlighets-API 2.0.

Omfångsbehörigheter

Omfång skapas med behörigheter som styrs av ACL:er. Som standard skapas omfång med behörighet för den användare som skapade omfånget ("skaparen"), vilket gör att skaparen kan läsa hemligheter i omfånget, skriva hemligheter till omfånget och ändra åtkomstkontrollistor för MANAGE omfånget. Om ditt konto har Azure Databricks Premium plankan du tilldela detaljerade behörigheter när som helst när du har skapat omfånget. Mer information finns i Åtkomstkontroll för hemligheter.

Du kan också åsidosätta standardinställningen och uttryckligen MANAGE bevilja behörighet till alla användare när du skapar omfånget. I själva verket måste du göra detta om ditt konto inte har Azure Databricks Premium Plan.

Metodtips

Som gruppledning kanske du vill skapa olika omfång för Azure Synapse Analytics- och Azure Blob Storage-autentiseringsuppgifter och sedan ge olika undergrupper i ditt team åtkomst till dessa omfång. Du bör överväga hur du uppnår detta med hjälp av de olika omfångstyperna:

  • Om du använder ett Databricks-stödt omfång och lägger till hemligheterna i dessa två omfång är de olika hemligheter (Azure Synapse Analytics i omfång 1 och Azure Blob Storage i omfång 2).
  • Om du använder ett Azure Key Vault-stödt omfång med varje omfång som refererar till olika Azure Key Vault och lägger till dina hemligheter i dessa två Azure Key Vault, kommer de att ha olika uppsättningar av hemligheter (Azure Synapse Analytics som finns i omfång 1 och Azure Blob Storage i omfång 2). Dessa fungerar som Databricks-säkerhetskopierade omfång.
  • Om du använder två Azure Key Vault-säkerhetskopierade omfång med båda omfången som refererar till samma Azure Key Vault och lägger till dina hemligheter i den Azure Key Vault kommer alla Azure Synapse Analytics- och Azure Blob Storage-hemligheter att vara tillgängliga. Eftersom ACL:er är på omfångsnivå ser alla medlemmar i de två undergrupperna alla hemligheter. Detta uppfyller inte ditt användningsfall att begränsa åtkomsten till en uppsättning hemligheter till varje grupp.

Skapa ett Azure Key Vault hemlighetsomfång som stöds

Du kan skapa ett Azure Key Vault hemlighetsomfång med hjälp av användargränssnittet eller med Hjälp av Databricks CLI.

Skapa ett Azure Key Vault hemlighetsomfång med hjälp av användargränssnittet

  1. Kontrollera att du har deltagarbehörighet på den Azure Key Vault instans som du vill använda för att omfånget hemligt.

    Om du inte har en Key Vault instans följer du anvisningarna i Snabbstart: Skapaen Key Vault med hjälp av Azure Portal .

  2. Gå till https://<databricks-instance>#secrets/createScope. Den här URL:en är ärendekänslig. createScope omfånget i måste vara versaler.

    Skapa omfång

  3. Ange namnet på det hemliga omfånget. Namn på omfattningar för hemligheter är skiftlägesokänsliga.

  4. Använd listrutan Hantera huvudnamn för att ange om Alla användare har behörighet för det här hemlighetsomfånget eller bara skaparen av det hemliga omfånget (det vill säga du).

    MANAGE-behörighet låter användare läsa och skriva till det här hemlighetsomfånget och, när det gäller konton på MANAGE, ändra behörigheter för omfånget.

    Ditt konto måste ha Azure Databricks Premium plan för att du ska kunna välja Skapare. Det här är den rekommenderade metoden: bevilja behörighet till skaparen när du skapar det hemliga omfånget och tilldela sedan mer detaljerade åtkomstbehörigheter när du har testat MANAGE omfånget. MANAGE Ett exempelarbetsflöde finns i Exempel på hemligt arbetsflöde.

    Om ditt konto har standardplanen måste du ange MANAGE behörigheten till gruppen "Alla användare". Om du väljer Skapare här visas ett felmeddelande när du försöker spara omfånget.

    Mer information om behörigheten MANAGE finns i MANAGE

  5. Ange DNS-namn (till exempel ) och resurs-ID,till exempel:

    /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/databricks-rg/providers/Microsoft.KeyVault/vaults/databricksKV

    Dessa egenskaper är tillgängliga på fliken Egenskaper i en Azure Key Vault i Azure Portal.

    Azure Key Vault fliken Egenskaper

  6. Klicka på knappen Skapa.

  7. Använd Databricks CLI-kommandot för att verifiera att omfånget har skapats.

Ett exempel på hur du använder hemligheter vid åtkomst till Azure Blob Storage finns i Montera en Azure Blob Storage-container.

Skapa ett Azure Key Vault hemlighetsomfång med hjälp av Databricks CLI

  1. Installera CLI och konfigurera den så att den använder en Azure Active Directory-token (Azure AD) för autentisering.

    Viktigt

    Du behöver en Azure AD-användartoken för att Azure Key Vault ett hemligt omfång som stöds med Databricks CLI. Du kan inte använda en Azure Databricks personlig åtkomsttoken eller en Azure AD-programtoken som tillhör ett huvudnamn för tjänsten.

    Om nyckelvalvet finns i en annan klientorganisation än Azure Databricks-arbetsytan måste Den Azure AD-användare som skapar det hemliga omfånget ha behörighet att skapa tjänstens huvudnamn i nyckelvalvets klientorganisation. Annars inträffar följande fel:

    Unable to grant read/list permission to Databricks service principal to KeyVault 'https://xxxxx.vault.azure.net/': Status code 403, {"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privileges to complete the operation."},"requestId":"XXXXX","date":"YYYY-MM-DDTHH:MM:SS"}}

  2. Skapa Azure Key Vault omfånget:

    databricks secrets create-scope --scope <scope-name> --scope-backend-type AZURE_KEYVAULT --resource-id <azure-keyvault-resource-id> --dns-name <azure-keyvault-dns-name>

    Som standard skapas omfång med behörighet MANAGE för den användare som skapade omfånget. Om ditt konto inte har Azure Databricks Premium planmåste du åsidosätta standardinställningen och uttryckligen bevilja behörigheten till gruppen (alla användare) när du skapar users omfånget:

     databricks secrets create-scope --scope <scope-name> --scope-backend-type AZURE_KEYVAULT --resource-id <azure-keyvault-resource-id> --dns-name <azure-keyvault-dns-name> --initial-manage-principal users

    Om ditt konto i på Azure Databricks Premium plan kan du ändra behörigheter när som helst när du har skapat omfånget. Mer information finns i Åtkomstkontroll för hemligheter.

    När du har skapat ett Databricks-stödda hemlighetsomfång kan du lägga till hemligheter.

Ett exempel på hur du använder hemligheter vid åtkomst till Azure Blob Storage finns i Montera en Azure Blob Storage-container.

Skapa en omfattning för en hemlighet som stöds av Databricks

Namn på omfattningar för hemligheter är skiftlägesokänsliga.

Så här skapar du ett omfång med Hjälp av Databricks CLI:

databricks secrets create-scope --scope <scope-name>

Som standard skapas omfång med behörighet MANAGE för den användare som skapade omfånget. Om ditt konto inte har Azure Databricks Premium Plan måste du åsidosätta standardinställningen och uttryckligen bevilja behörigheten till "användare" (alla användare) när du skapar omfånget:

databricks secrets create-scope --scope <scope-name> --initial-manage-principal users

Du kan också skapa ett Databricks-backat hemlighetsomfång med åtgärden Placera hemlighet i HEMLIGHETS-API:et.

Om ditt konto har Azure Databricks Premium plankan du ändra behörigheter när som helst när du har skapat omfånget. Mer information finns i Åtkomstkontroll för hemligheter.

När du har skapat ett Databricks-stödda hemlighetsomfång kan du lägga till hemligheter.

Visa en lista över hemlighetsomfång

Så här listar du befintliga omfång på en arbetsyta med hjälp av CLI:

databricks secrets list-scopes

Du kan också visa en lista över befintliga omfång med hjälp av hemlighets-API:et listar hemligheter.

Ta bort en omfattning för en hemlighet

Om du tar bort ett hemlighetsomfång tas alla hemligheter och ACL:er som tillämpas på omfånget bort. Så här tar du bort ett omfång med hjälp av CLI:

databricks secrets delete-scope --scope <scope-name>

Du kan också ta bort ett hemlighetsomfång med åtgärden Hemlighets-API:et Ta bort hemlighetsomfång.