secrets
コマンド グループ
この情報は、Databricks CLI バージョン 0.205 以降に適用されます。Databricks CLI は パブリック プレビュー段階です。
Databricks CLI 使用には、使用状況データを含む Databricks ライセンス および Databricks プライバシー通知が適用されます。
Databricks CLI内のsecrets
コマンドグループを使用すると、シークレットスコープ、およびアクセス許可を管理できます。データにアクセスするには、JDBC を介して外部データソースに対して認証する必要がある場合があります。ノートブックに資格情報を直接入力する代わりに、 Databricks シークレットを使用して資格情報を格納し、ノートブックとジョブで参照します。 シー クレット管理を参照してください。
databricks secrets create-scope
新しいシークレットスコープを作成します。
スコープ名は、英数字、ダッシュ、アンダースコア、ピリオドで構成する必要があり、128 文字を超えてはなりません。
databricks secrets create-scope SCOPE [flags]
引数
SCOPE
ユーザーによって要求されたスコープ名。スコープ名は一意です。
オプション
--initial-manage-principal string
作成されたスコープに対する MANAGE アクセス許可が最初に付与されたプリンシパル。
--json JSON
インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。
--scope-backend-type ScopeBackendType
スコープの作成に使用するバックエンドの種類。サポートされている値: AZURE_KEYVAULT
、 DATABRICKS
databricks secrets delete-acl
指定されたスコープで指定された ACL を削除します。
ユーザーは、このコマンドを呼び出すための MANAGE
権限を持っている必要があります。そのようなシークレットスコープ、プリンシパル、またはACL存在しない場合はRESOURCE_DOES_NOT_EXIST
スローします。ユーザーがこのAPI呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED
スローします。
databricks secrets delete-acl SCOPE PRINCIPAL [flags]
引数
SCOPE
アクセス許可を削除するスコープの名前。
PRINCIPAL
既存の ACL を削除するプリンシパル。
オプション
--json JSON
インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。
databricks secrets delete-scope
シークレットスコープを削除します。
スコープが存在しない場合は RESOURCE_DOES_NOT_EXIST
スローします。ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED
スローします。
databricks secrets delete-scope SCOPE [flags]
引数
SCOPE
削除するスコープの名前。
オプション
--json JSON
インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。
databricks secrets delete-secret
このシークレットスコープに格納されているシークレットを削除します。シークレットスコープに対する WRITE
または MANAGE
権限が必要です。
そのようなシークレットスコープやシークレットが存在しない場合、 RESOURCE_DOES_NOT_EXIST
スローします。 ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED
スローします。
databricks secrets delete-secret SCOPE KEY [flags]
引数
SCOPE
削除するシークレットを含むスコープの名前。
KEY
削除するシークレットの名前。
オプション
--json JSON
インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。
databricks secrets get-acl
グループや権限など、指定された ACL に関する詳細を取得します。ユーザーは、この API を呼び出すための MANAGE
権限を持っている必要があります。
そのようなシークレットスコープが存在しない場合は RESOURCE_DOES_NOT_EXIST
スローします。 ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED
スローします。
databricks secrets get-acl SCOPE PRINCIPAL [flags]
引数
SCOPE
ACL 情報の取得元となるスコープの名前。
PRINCIPAL
ACL 情報をフェッチするプリンシパル。
オプション
databricks secrets get-secret
指定したスコープとキーのシークレット値のバイト表現を取得します。
ユーザーは、この呼び出しを行うために READ
権限が必要です。
返されるシークレット値はバイト単位であることに注意してください。バイトの解釈は、DBUtils の呼び出し元と、データがデコードされる型によって決定されます。
ユーザーがこのAPI呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED
スローします。そのようなシークレットまたはシークレットスコープが存在しない場合は RESOURCE_DOES_NOT_EXIST
スローします。
databricks secrets get-secret SCOPE KEY [flags]
引数
SCOPE
シークレット情報の取得元となるスコープの名前。
KEY
シークレットを取得するための鍵。
オプション
databricks secrets list-acls
特定のシークレットスコープの ACL を一覧表示します。ユーザーは、この API を呼び出すための MANAGE
権限を持っている必要があります。
そのようなシークレットスコープが存在しない場合は RESOURCE_DOES_NOT_EXIST
スローします。 ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED
スローします。
databricks secrets list-acls SCOPE [flags]
引数
SCOPE
ACL 情報の取得元となるスコープの名前。
オプション
databricks secrets list-scopes
ワークスペースで利用可能なすべてのシークレットスコープを一覧表示します。
ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED
スローします。
databricks secrets list-scopes [flags]
オプション
databricks secrets list-secrets
この有効範囲に保管されているシークレットキーをリストします。 これはメタデータのみの操作です。このコマンドを使用してシークレット データを取得することはできません。ユーザーは、この呼び出しを行うために READ
権限が必要です。
返される lastUpdatedTimestamp
は、エポックからのミリ秒単位です。そのようなシークレットスコープが存在しない場合は RESOURCE_DOES_NOT_EXIST
スローします。 ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED
スローします。
databricks secrets list-secrets SCOPE [flags]
引数
SCOPE
シークレットを一覧表示するスコープの名前。
オプション
databricks secrets put-acl
指定されたスコープ ポイントで、指定されたプリンシパル (ユーザーまたはグループ) に関連付けられたアクセス制御リスト (ACL) を作成または上書きします。
一般に、ユーザーまたはグループは、利用可能な最も強力な権限を使用し、権限は次のように順序付けられます。
MANAGE
ACL の変更、およびこのシークレットスコープの読み取りと書き込みを許可します。WRITE
このシークレットスコープの読み取りと書き込みを許可します。READ
このシークレットスコープを読み、利用可能なシークレットをリストすることができます。
一般に、シークレット値は、 コマンド の クラスター (ノートブックなど)。 クラスターの外部で実際の秘密値マテリアルを読み取る API はありません。 ただし、ユーザーの権限はコマンドを実行しているユーザーに基づいて適用され、少なくとも READ 権限が必要です。
ユーザーは、このコマンドを呼び出すための MANAGE
権限を持っている必要があります。
プリンシパルは、アクセスを許可または取り消す既存の Databricks プリンシパルに対応するユーザー名またはグループ名です。
そのようなシークレットスコープが存在しない場合は RESOURCE_DOES_NOT_EXIST
スローします。 プリンシパルのアクセス許可が既に存在する場合は、 RESOURCE_ALREADY_EXISTS
スローします。アクセス許可またはプリンシパルが無効な場合に INVALID_PARAMETER_VALUE
スローします。ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED
スローします。
databricks secrets put-acl SCOPE PRINCIPAL PERMISSION [flags]
引数
SCOPE
アクセス許可を適用するスコープの名前。
PRINCIPAL
アクセス許可が適用されるプリンシパル。
PERMISSION
プリンシパルに適用されるアクセス許可レベル。サポートされている値: MANAGE
、 READ
、 WRITE
オプション
--json JSON
インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。
databricks secrets put-secret
指定されたスコープの下に、指定された名前でシークレットを挿入します。同じ名前のシークレットが既に存在する場合、このコマンドは既存のシークレットの値を上書きします。サーバーは、シークレットスコープの暗号化設定を使用してシークレットを暗号化してから、シークレットを保存します。
シークレットスコープに対する WRITE
または MANAGE
権限が必要です。 シークレットキーは、英数字、ダッシュ、アンダースコア、ピリオドで構成され、128 文字を超えることはできません。 許可されるシークレット値の最大サイズは 128 KB です。特定のスコープ内のシークレットの最大数は 1000 です。
引数 string-value
または bytes-value
は、シークレットの型を指定し、シークレット値が要求されたときに返される値を決定します。
シークレット値は、次の 3 つの方法のいずれかで指定できます。
--string-value
フラグを使用して値を文字列として指定します。- 対話形式でプロンプトが表示されたら、シークレットを入力します (単一行のシークレット)。
- 標準入力 (複数行のシークレット) を介してシークレットを渡します。
databricks secrets put-secret SCOPE KEY [flags]
引数
SCOPE
シークレットを格納するスコープの名前。
KEY
シークレットのキー名。
オプション
--bytes-value string
指定すると、値はバイトとして格納されます。
--json JSON
インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。
--string-value string
指定した場合、値は UTF-8 (MB4) 形式で格納されることに注意してください。
グローバルフラグ
--debug
デバッグログを有効にするかどうか。
-h
または --help
Databricks CLI、関連するコマンド グループ、または関連するコマンドのヘルプを表示します。
--log-file
string
出力ログの書き込み先となるファイルを表す文字列。このフラグが指定されていない場合、デフォルトでは出力ログが stderr に書き込まれます。
--log-format
format
ログ・フォーマット・タイプ ( text
または json
) 。デフォルト値は text
です。
--log-level
string
ログ形式レベルを表す文字列。指定しない場合、ログ・フォーマット・レベルは使用不可になります。
-o, --output
タイプ
コマンド出力タイプ text
または json
。デフォルト値は text
です。
-p, --profile
string
コマンドの実行に使用する ~/.databrickscfg
ファイル内のプロファイルの名前。このフラグが指定されていない場合、存在する場合は、 DEFAULT
という名前のプロファイルが使用されます。
--progress-format
format
進行状況ログを表示する形式: default
、 append
、 inplace
、 json
-t, --target
string
該当する場合は、使用するバンドル・ターゲット