Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ajoutez des secrets Databricks en tant que ressources Databricks Apps pour transmettre en toute sécurité des valeurs sensibles, telles que des clés d’API ou des jetons, à votre application. Databricks Apps prend en charge les secrets stockés dans des étendues de secrets. Les applications récupèrent ces secrets au moment de l’exécution, ce qui les empêche de définir le code et l’environnement de votre application.
Ajouter une ressource secrète
Avant d’ajouter un secret en tant que ressource, passez en revue les prérequis des ressources d’application.
- Lorsque vous créez ou modifiez une application, accédez à l’étape Configurer .
- Dans la section Ressources de l’application , cliquez sur + Ajouter une ressource.
- Sélectionnez Secret comme type de ressource.
- Choisissez une étendue de secret.
- Sélectionnez une clé secrète dans cette étendue à utiliser dans votre application.
- Choisissez un niveau d’autorisation pour l’étendue (et non le secret individuel) :
- Peut lire : Accorde à l’application l’accès en lecture à tous les secrets de l’étendue sélectionnée.
- Peut écrire : Octroie à l’application l’autorisation de mettre à jour n’importe quel secret dans l’étendue.
- Peut gérer : Accorde à l’application l’autorisation de lire, de mettre à jour et de supprimer un secret dans l’étendue.
- (Facultatif) Spécifiez une clé de ressource personnalisée, c’est-à-dire la façon dont vous référencez le secret dans la configuration de votre application. La clé par défaut est
secret.
Note
Ces étapes permettent à l’application d’accéder en toute sécurité à un secret sélectionné à partir de l’étendue en passant sa valeur en tant que variable d’environnement.
Les autorisations de secret s’appliquent au niveau de l’étendue , mais pas au secret individuel. Pour limiter l’accès entre les applications, créez une étendue secrète distincte pour chaque application et stockez uniquement les secrets requis dans cette étendue.
Variables d’environnement
Lorsque vous déployez une application qui utilise des ressources secrètes, Azure Databricks injecte chaque secret en tant que variable d’environnement. Le nom de chaque variable correspond à la clé de ressource que vous avez définie lorsque vous avez ajouté le secret.
Pour accéder au secret à partir de votre application, utilisez cette variable d’environnement. Dans votre fichier de configuration d’application (par exemple app.yaml), définissez une variable qui référence le secret à l’aide du valueFrom champ. Cette configuration garantit que la valeur secrète réelle reste gérée en toute sécurité par Azure Databricks et n’est pas exposée en texte clair.
Si vous utilisez le même secret entre plusieurs entrées de ressources avec des clés de ressource différentes, chacun devient une variable d’environnement distincte lorsqu’elle est référencée dans valueFrom.
Pour plus d’informations, consultez Les variables d’environnement Access à partir de ressources.
Important
Ne stockez jamais de valeurs sensibles directement dans des variables d’environnement ou votre code d’application. Au lieu de cela, transmettez la clé de ressource à Azure Databricks en tant que variable d’environnement et récupérez la valeur secrète en toute sécurité au moment de l’exécution.
Supprimer une ressource secrète
Lorsque vous supprimez une ressource de secret d’une application, le secret lui-même reste dans l’étendue de secret. Toutefois, l’application perd l’accès au secret, sauf si vous l’ajoutez à nouveau.
Meilleures pratiques
Suivez ces bonnes pratiques lors de la gestion des secrets dans votre application :
- N’exposez pas de valeurs secrètes brutes. Les valeurs secrètes injectées directement en tant que variables d’environnement apparaissent en texte clair dans la page Environnement de l’application. Pour éviter cela, référencez le secret à l’aide du
valueFromchamp dans la configuration de votre application et récupérez la valeur en toute sécurité dans votre code d’application. - Limitez l’accès de l’application aux étendues spécifiques dont elle a besoin. Évitez d’accorder l’accès à toutes les étendues de l’espace de travail.
- Établissez un planning de rotation pour tous les secrets, et effectuez une rotation immédiatement lorsqu'un membre de l'équipe change de rôle ou quitte votre organisation.