Gizli kapsamlar

  • Makale
  • Okumak için 5 dakika

Gizli dizileri yönetmek, gizli dizi kapsamı oluşturmakla başlar. Gizli dizi kapsamı, bir adla tanımlanan gizli dizilerin koleksiyonudur. Çalışma alanı en fazla 100 gizli kapsamla sınırlıdır.

Genel Bakış

İki tür gizli kapsam vardır: Azure Key Vault ve Databricks ile birlikte.

Azure Key Vault kapsamlar

bir veritabanında depolanan gizli dizilere Azure Key Vaultiçin, gizli diziler tarafından Azure Key Vault. Daha sonra ilgili gizli dizi kapsamındaki tüm gizli dizilerden Key Vault bu gizli dizi kapsamından faydalanma. Arka Azure Key Vault gizli dizi kapsamı, Key Vault için salt okunur bir arabirim olduğundan ve PutSecretDeleteSecretPutSecret işlemlerine izin verilmez. Gizli dizileri Azure Key Vault için Azure SetSecret kullanıcı arabirimini veya REST API Azure portal gerekir.

Databricks tarafından arkalı kapsamlar

Databricks tarafından yönetilen gizli anahtar kapsamı, veri kaynağı tarafından sahip olunan ve yönetilen şifrelenmiş bir veritabanında depolanır Azure Databricks. Gizli kapsam adı:

  • Çalışma alanı içinde benzersiz olmalıdır.
  • Alfasayısal karakterlerden, tirelerden, alt çizgilerden ve noktalardan oluşan olmalıdır ve 128 karakteri aşmamalıdır.

Adlar duyarlı değil olarak kabul edilir ve çalışma alanında tüm kullanıcılar tarafından okunabilir.

Databricks CLI'sini (sürüm 0.7.1 ve üzeri) kullanarak Databricks ile birlikte bir gizli gizli kapsam oluşturabilirsiniz. Alternatif olarak, Gizli Diziler API 2.0 kullanabilirsiniz.

Kapsam izinleri

Kapsamlar, ACL'ler tarafından denetlenen izinlerle oluşturulur. Varsayılan olarak kapsamlar, kapsamı oluşturan kullanıcı (oluşturan) izniyle oluşturulur ve bu sayede oluşturucu kapsamda gizli dizileri okur, gizli dizileri kapsama yazar ve kapsam için ACL'leri MANAGE değiştirir. Hesabınız plan Azure Databricks Premium varsa,kapsamı oluşturduk sonra istediğiniz zaman ayrıntılı izinler atabilirsiniz. Ayrıntılar için bkz. Gizli erişim denetimi.

Ayrıca, varsayılanı geçersiz kabilirsiniz ve kapsamı 7.000.00000000000000000000000000000000000000000000 MANAGE Aslında, hesabınız Azure Databricks PremiumPlanına sahip yoksa bunu Azure Databricks Premium gerekir.

En iyi yöntemler

Ekip adayı olarak, Azure Synapse Analytics ve Azure Blob depolama kimlik bilgileri için farklı kapsamlar oluşturmak ve ardından takımınıza bu kapsamlara farklı alt gruplar erişim sağlamak istiyor olabilir. Bunu farklı kapsam türlerini kullanarak nasıl başaracaklarını düşünmelisiniz:

  • Databricks ile birlikte bir kapsam kullanır ve gizli dizileri bu iki kapsamda eklersiniz, bunlar farklı gizli diziler (kapsam 1'de Azure Synapse Analytics ve kapsam 2'de Azure Blob depolama) olur.
  • Farklı bir Azure Key Vault'a başvuran her kapsamda Azure Key Vault ile birlikte bir Azure Key Vault arkalı kapsam kullanırsanız ve gizli dizilerinizi bu iki Azure Key Vault'a eklersanız, bunlar farklı gizli dizi kümeleri Azure Synapse Analytics (kapsam 1'de olanlar ve kapsam 2'de Azure Blob depolama) olur. Bunlar Databricks tarafından arkalı kapsamlar gibi çalışır.
  • Her iki Azure Key Vault aynı Azure Key Vault'a başvuran ve gizli dizilerinizi bu Azure Key Vault'a ekli olan iki farklı Azure Synapse Analytics kullanırsanız, tüm Azure Synapse Analytics ve Azure Blob depolama gizli dizileri kullanılabilir. ACL'ler kapsam düzeyinde olduğu için, iki alt grup genelindeki tüm üyeler tüm gizli dizileri görebilir. Bu düzenleme, erişimi her grupla bir dizi gizli diziyle sınırlamak için kullanım durumuna uygun değildir.

Gizli Azure Key Vault kapsamı oluşturma

Kullanıcı arabirimini veya Databricks CLI'Azure Key Vault kullanarak bir gizli Azure Key Vault gizli kapsam oluşturabilirsiniz.

Kullanıcı arabirimini Azure Key Vault gizli gizli kapsam oluşturma

  1. Gizli kapsam için kullanmak istediğiniz Azure Key Vault katkıda bulunan iznine sahip olduğunu doğrulayın.

    Key Vault örneği Key Vault Hızlı Başlangıç:Azure portal.

  2. https://<databricks-instance>#secrets/createScope öğesine gidin. Bu URL büyük/büyük/büyük harfe duyarlıdır; içinde kapsam createScope büyük harf olmalıdır.

    Kapsam oluşturma

  3. Gizli kapsamın adını girin. Gizli dizi kapsam adları büyük/küçük harfe duyarlı değildir.

  4. Tüm Kullanıcıların bu gizli kapsam için izni olup olmadığını veya yalnızca gizli kapsamı oluşturan (yani siz) için Sorumlu yönet açılan listesinden seçim yapmak için kullanın.

    MANAGEizni, kullanıcıların bu gizli kapsamda okuma ve yazma ve Azure Databricks Premium MANAGEhesaplarda kapsam izinlerini değiştirmelerine olanak sağlar.

    Oluşturan'ı seç Azure Databricks Premium için hesabınız Azure Databricks Premium Planına sahip olmalı. Önerilen yaklaşım şu şekildedir: Gizli kapsamı oluşturduktan sonra Oluşturucuya izin verin ve kapsamı test ettikten sonra daha ayrıntılı erişim MANAGE izinleri attayın. MANAGE Örnek bir iş akışı için bkz. Gizli iş akışı örneği.

    Hesabınız Standart Plan'a sahipse, izni MANAGE "Tüm Kullanıcılar" grubu olarak ayarlayabilirsiniz. Burada Oluşturucu'ya tıklayın, kapsamı kaydetmeye çalışsanız bir hata iletisi alırsınız.

    İzin hakkında daha fazla bilgi MANAGE için bkz. MANAGE

  5. DNS Adı (örneğin, ) ve Kaynak Kimliği girin,örneğin:

    /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourcegroups/databricks-rg/providers/Microsoft.KeyVault/vaults/databricksKV

    Bu özellikler, uygulamanıza bir uygulamanın Özellikler Azure Key Vault'Azure portal.

    Azure Key Vault Özellikleri sekmesi

  6. Oluştur düğmesine tıklayın.

  7. Kapsamın başarıyla oluşturulmuş olduğunu doğrulamak için Databricks CLI komutunu kullanın.

Azure Blob depolamaya erişirken gizli dizileri kullanma örneği için bkz. Azure Blob depolama kapsayıcısı bağlama.

Databricks CLI kullanarak Azure Key Vault gizli gizli kapsam oluşturma

  1. CLI'yi yükleyin ve kimlik doğrulaması için Azure Active Directory (Azure AD) belirteci kullanmak üzere yapılandırın.

    Önemli

    Databricks CLI ile Azure Key Vault gizli Azure Key Vault oluşturmak için bir Azure AD kullanıcı belirtecin gerekir. Özel bir Azure Databricks belirteci veya hizmet sorumlusuna ait bir Azure AD uygulama belirteci kullanılamaz.

    Anahtar kasası, Azure Databricks çalışma Azure Databricks farklı bir kiracıda bulunuyorsa, gizli kapsam oluşturan Azure AD kullanıcısına, anahtar kasasının kiracısında hizmet sorumluları oluşturma iznine sahip olması gerekir. Aksi takdirde aşağıdaki hata oluşur:

    Unable to grant read/list permission to Databricks service principal to KeyVault 'https://xxxxx.vault.azure.net/': Status code 403, {"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privileges to complete the operation."},"requestId":"XXXXX","date":"YYYY-MM-DDTHH:MM:SS"}}

  2. Azure Key Vault oluşturun:

    databricks secrets create-scope --scope <scope-name> --scope-backend-type AZURE_KEYVAULT --resource-id <azure-keyvault-resource-id> --dns-name <azure-keyvault-dns-name>

    Varsayılan olarak kapsamlar, kapsamı MANAGE oluşturan kullanıcının izniyle oluşturulur. Hesabınız Azure Databricks Premium Planınasahip yoksa, bu varsayılanı geçersiz kılmanız ve kapsamı 7.000.00000000000000000000000000000000000000000000000000000000000000000000000000000000000000 users

     databricks secrets create-scope --scope <scope-name> --scope-backend-type AZURE_KEYVAULT --resource-id <azure-keyvault-resource-id> --dns-name <azure-keyvault-dns-name> --initial-manage-principal users

    Azure Databricks Premium Planı'nda hesabınız varsa, kapsamı oluşturduk sonra izinleri herhangi bir zamanda değiştirebilirsiniz. Ayrıntılar için bkz. Gizli erişim denetimi.

    Databricks ile birlikte bir gizli dizi kapsamı oluşturduktan sonra gizli diziler ebilirsiniz.

Azure Blob depolamaya erişirken gizli dizileri kullanma örneği için bkz. Azure Blob depolama kapsayıcısı bağlama.

Databricks ile desteklenen gizli dizi kapsamı oluşturma

Gizli dizi kapsam adları büyük/küçük harfe duyarlı değildir.

Databricks CLI kullanarak kapsam oluşturmak için:

databricks secrets create-scope --scope <scope-name>

Varsayılan olarak kapsamlar, kapsamı MANAGE oluşturan kullanıcının izniyle oluşturulur. Hesabınız Azure Databricks Premium Planınasahip yoksa, kapsamı 700000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 

databricks secrets create-scope --scope <scope-name> --initial-manage-principal users

Ayrıca Gizli Diziler API'si Gizli dizi koy işlemi kullanarak Databricks ile birlikte bir gizli dizi kapsamı oluşturabilirsiniz.

Hesabınız plan Azure Databricks Premium varsa,kapsamı oluşturduk sonra izinleri herhangi bir zamanda değiştirebilirsiniz. Ayrıntılar için bkz. Gizli erişim denetimi.

Databricks ile birlikte bir gizli dizi kapsamı oluşturduktan sonra gizli diziler ebilirsiniz.

Gizli kapsamları listele

CLI kullanarak çalışma alanında mevcut kapsamları listeleyebilirsiniz:

databricks secrets list-scopes

Ayrıca Gizli Diziler API'si Gizli dizileri listele işlemi kullanarak mevcut kapsamları listeleebilirsiniz.

Gizli dizi kapsamını silme

Bir gizli dizi kapsamının silinmesi, kapsama uygulanan tüm gizli dizileri ve ACL'leri siler. CLI kullanarak kapsamı silmek için:

databricks secrets delete-scope --scope <scope-name>

Gizli dizileri silme API'si Gizli dizi kapsamını silme işlemiyle de gizli dizi kapsamını silebilirsiniz.