Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Fügen Sie Databricks-Schlüssel als Databricks-Apps-Ressourcen hinzu, um vertrauliche Werte, z. B. API-Schlüssel oder Token, sicher an Ihre App zu übergeben. Databricks Apps unterstützt geheime Schlüssel, die in geheimen Bereichen gespeichert sind. Apps rufen diese geheimen Schlüssel zur Laufzeit ab, wodurch sie von Ihren Anwendungscode- und Umgebungsdefinitionen ausgeschlossen werden.
Hinzufügen einer geheimen Ressource
Bevor Sie einen geheimen Schlüssel als Ressource hinzufügen, überprüfen Sie die Voraussetzungen für die App-Ressource.
- Wenn Sie eine App erstellen oder bearbeiten, navigieren Sie zum Schritt "Konfigurieren" .
- Klicken Sie im Abschnitt "App-Ressourcen " auf +Ressource hinzufügen.
- Wählen Sie "Geheim" als Ressourcentyp aus.
- Wählen Sie einen geheimen Bereich aus.
- Wählen Sie einen geheimen Schlüssel innerhalb dieses Bereichs aus, der in Ihrer App verwendet werden soll.
- Wählen Sie eine Berechtigungsstufe für den Bereich aus (nicht den einzelnen geheimen Schlüssel):
- Kann lesen: Gewährt der App Lesezugriff auf alle geheimen Schlüssel im ausgewählten Bereich.
- Kann schreiben: Gewährt der App die Berechtigung zum Aktualisieren eines geheimen Schlüssels im Bereich.
- Kann verwalten: Gewährt der App die Berechtigung zum Lesen, Aktualisieren und Löschen eines geheimen Schlüssels im Bereich.
- (Optional) Geben Sie einen benutzerdefinierten Ressourcenschlüssel an, mit dem Sie in der App-Konfiguration auf den geheimen Schlüssel verweisen. Der Standardwert ist
secret.
Note
Mit diesen Schritten kann die App sicher auf einen ausgewählten geheimen Schlüssel aus dem Bereich zugreifen, indem der Wert als Umgebungsvariable übergeben wird.
Geheime Berechtigungen gelten jedoch nicht für den einzelnen geheimen Schlüssel auf Bereichsebene . Um den Zugriff zwischen Apps einzuschränken, erstellen Sie einen separaten geheimen Bereich für jede App, und speichern Sie nur die erforderlichen geheimen Schlüssel in diesem Bereich.
Umgebungsvariablen
Wenn Sie eine App bereitstellen, die geheime Ressourcen verwendet, fügt Azure Databricks jeden geheimen Schlüssel als Umgebungsvariable ein. Der Name jeder Variablen entspricht dem Ressourcenschlüssel, den Sie beim Hinzufügen des geheimen Schlüssels definiert haben.
Verwenden Sie diese Umgebungsvariable, um auf den geheimen Schlüssel Ihrer App zuzugreifen. Definieren Sie in Ihrer App-Konfigurationsdatei (zum Beispiel app.yaml) eine Variable, die mithilfe des valueFrom Felds auf das Geheimnis verweist. Durch dieses Setup wird sichergestellt, dass der tatsächliche geheime Wert von Azure Databricks sicher verwaltet wird und nicht im Klartext verfügbar gemacht wird.
Wenn Sie denselben Secret für mehrere Ressourceneinträge mit verschiedenen Ressourcenschlüsseln verwenden, wird jeder von ihnen zu einer separaten Umgebungsvariable, wenn in valueFrom darauf verwiesen wird.
Weitere Informationen finden Sie unter Zugriff auf Umgebungsvariablen von Ressourcen.
Important
Speichern Sie vertrauliche Werte niemals direkt in Umgebungsvariablen oder im App-Code. Übergeben Sie stattdessen den Ressourcenschlüssel an Azure Databricks als Umgebungsvariable, und rufen Sie den geheimen Wert zur Laufzeit sicher ab.
Entfernen einer geheimen Ressource
Wenn Sie eine geheime Ressource aus einer App entfernen, verbleibt das Geheimnis selbst im Geheimnisbereich. Die App verliert jedoch den Zugriff auf den geheimen Schlüssel, es sei denn, Sie fügen es erneut hinzu.
Bewährte Methoden
Befolgen Sie beim Verwalten von geheimen Schlüsseln in Ihrer App die folgenden bewährten Methoden:
- Machen Sie keine unformatierten geheimen Werte verfügbar. Geheime Werte, die direkt eingefügt werden, wenn Umgebungsvariablen auf der Seite "Umgebung " der App als Nur-Text angezeigt werden. Um dies zu vermeiden, verweisen Sie auf den geheimen Schlüssel mithilfe des
valueFromFelds in Ihrer App-Konfiguration, und rufen Sie den Wert sicher in Ihrem App-Code ab. - Beschränken Sie den Zugriff der App auf die spezifischen Bereiche, die sie benötigt. Vermeiden Sie es, den Zugriff auf alle Reservierungsumfänge im Arbeitsbereich zu gewähren.
- Richten Sie einen Rotationsplan für alle Geheimnisse ein, und rotieren Sie sofort, wenn ein Teammitglied die Rolle wechselt oder Ihre Organisation verlässt.