秘密訪問控製

缺省情況下,所有定價方案中的所有用戶都可以創建秘密和秘密作用域。使用秘密訪問控製,可與保費及以上計劃,可以配置細粒度權限,用於管理訪問控製。本指南描述如何設置這些控件。

請注意

  • 方法來管理秘密訪問控製磚CLI(版本0.7.1及以上)。或者,您也可以使用秘密API 2.0

秘密訪問控製

秘密的訪問控製在秘密範圍級別進行管理。訪問控製列表(ACL)定義Databricks主體(用戶或組)、秘密範圍和權限級別之間的關係。通常,用戶將使用他們所能獲得的最強大的權限(參見權限級別).

當一個秘密通過筆記本讀秘密實用程序(dbutls . Secrets),用戶的權限將根據執行命令的人應用,他們必須至少有許可。

創建作用域時,初始值為管理權限級別ACL應用於範圍。後續的訪問控製配置可以由該主體執行。

權限級別

秘密訪問權限如下:

  • 管理—允許修改acl,允許對該秘密作用域進行讀寫操作。

  • —允許對這個秘密作用域進行讀寫。

  • -允許閱讀這個秘密範圍和列出什麼秘密是可用的。

每個權限級別都是前一級別權限的子集(即具有的主體)給定範圍的權限可以執行所需的所有操作許可)。

請注意

Databricks管理員有管理對工作區中所有秘密作用域的權限。

創建一個秘密ACL

方法為給定的秘密作用域創建秘密ACL磚CLI(0.7.1及以上版本):

put-acl——scope ——principal ——permission 

對已經具有應用權限的主體發出put請求將覆蓋現有權限級別。

查看秘密acl

查詢指定秘密作用域的所有秘密acl。

Databricks secrets list-acl——scope 

要將秘密ACL應用於給定秘密作用域的主體,請執行以下操作:

Databricks secrets get-acl——scope ——principal 

如果給定主體和作用域不存在ACL,則此請求將失敗。

刪除秘密ACL

刪除應用於給定秘密作用域的主體的秘密ACL。

刪除-acl——scope ——principal 

起程拓殖集成

您可以在完全自動化的設置中使用Databricks Terraform提供商而且databricks_secret_acl

資源"databricks_group" "ds" {display_name = "data-scientists"}資源"databricks_secret_scope" "app" {name = "app-secret-scope"}資源"databricks_secret_acl" "my_secret_acl" {principal = databricks_group.ds. "display_name permission = "READ" scope = databricks_secret_scope.app.name}資源"databricks_secret" "publishing_api" {key = "publishing_api" string_value = "SECRET_API_TOKEN_HERE" scope = databricks_secret_scope.app.name}