メインコンテンツまでスキップ

secrets コマンド グループ

注記

この情報は、Databricks CLI バージョン 0.205 以降に適用されます。Databricks CLI は パブリック プレビュー段階です。

Databricks CLI 使用には、使用状況データを含む Databricks ライセンス および Databricks プライバシー通知が適用されます。

Databricks CLI内のsecretsコマンドグループを使用すると、シークレットスコープ、およびアクセス許可を管理できます。データにアクセスするには、JDBC を介して外部データソースに対して認証する必要がある場合があります。ノートブックに資格情報を直接入力する代わりに、 Databricks シークレットを使用して資格情報を格納し、ノートブックとジョブで参照します。 シー クレット管理を参照してください。

databricks secrets create-scope

新しいシークレットスコープを作成します。

スコープ名は、英数字、ダッシュ、アンダースコア、ピリオドで構成する必要があり、128 文字を超えてはなりません。

databricks secrets create-scope SCOPE [flags]

引数

SCOPE

ユーザーによって要求されたスコープ名。スコープ名は一意です。

オプション

--initial-manage-principal string

作成されたスコープに対する MANAGE アクセス許可が最初に付与されたプリンシパル。

--json JSON

インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。

--scope-backend-type ScopeBackendType

スコープの作成に使用するバックエンドの種類。サポートされている値: AZURE_KEYVAULTDATABRICKS

グローバルフラグ

databricks secrets delete-acl

指定されたスコープで指定された ACL を削除します。

ユーザーは、このコマンドを呼び出すための MANAGE 権限を持っている必要があります。そのようなシークレットスコープ、プリンシパル、またはACL存在しない場合はRESOURCE_DOES_NOT_EXISTスローします。ユーザーがこのAPI呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED スローします。

databricks secrets delete-acl SCOPE PRINCIPAL [flags]

引数

SCOPE

アクセス許可を削除するスコープの名前。

PRINCIPAL

既存の ACL を削除するプリンシパル。

オプション

--json JSON

インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。

グローバルフラグ

databricks secrets delete-scope

シークレットスコープを削除します。

スコープが存在しない場合は RESOURCE_DOES_NOT_EXIST スローします。ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED スローします。

databricks secrets delete-scope SCOPE [flags]

引数

SCOPE

削除するスコープの名前。

オプション

--json JSON

インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。

グローバルフラグ

databricks secrets delete-secret

このシークレットスコープに格納されているシークレットを削除します。シークレットスコープに対する WRITE または MANAGE 権限が必要です。

そのようなシークレットスコープやシークレットが存在しない場合、 RESOURCE_DOES_NOT_EXIST スローします。 ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED スローします。

databricks secrets delete-secret SCOPE KEY [flags]

引数

SCOPE

削除するシークレットを含むスコープの名前。

KEY

削除するシークレットの名前。

オプション

--json JSON

インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。

グローバルフラグ

databricks secrets get-acl

グループや権限など、指定された ACL に関する詳細を取得します。ユーザーは、この API を呼び出すための MANAGE 権限を持っている必要があります。

そのようなシークレットスコープが存在しない場合は RESOURCE_DOES_NOT_EXIST スローします。 ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED スローします。

databricks secrets get-acl SCOPE PRINCIPAL [flags]

引数

SCOPE

ACL 情報の取得元となるスコープの名前。

PRINCIPAL

ACL 情報をフェッチするプリンシパル。

オプション

グローバルフラグ

databricks secrets get-secret

指定したスコープとキーのシークレット値のバイト表現を取得します。

ユーザーは、この呼び出しを行うために READ 権限が必要です。

返されるシークレット値はバイト単位であることに注意してください。バイトの解釈は、DBUtils の呼び出し元と、データがデコードされる型によって決定されます。

ユーザーがこのAPI呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED スローします。そのようなシークレットまたはシークレットスコープが存在しない場合は RESOURCE_DOES_NOT_EXIST スローします。

databricks secrets get-secret SCOPE KEY [flags]

引数

SCOPE

シークレット情報の取得元となるスコープの名前。

KEY

シークレットを取得するための鍵。

オプション

グローバルフラグ

databricks secrets list-acls

特定のシークレットスコープの ACL を一覧表示します。ユーザーは、この API を呼び出すための MANAGE 権限を持っている必要があります。

そのようなシークレットスコープが存在しない場合は RESOURCE_DOES_NOT_EXIST スローします。 ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED スローします。

databricks secrets list-acls SCOPE [flags]

引数

SCOPE

ACL 情報の取得元となるスコープの名前。

オプション

グローバルフラグ

databricks secrets list-scopes

ワークスペースで利用可能なすべてのシークレットスコープを一覧表示します。

ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED スローします。

databricks secrets list-scopes [flags]

オプション

グローバルフラグ

databricks secrets list-secrets

この有効範囲に保管されているシークレットキーをリストします。 これはメタデータのみの操作です。このコマンドを使用してシークレット データを取得することはできません。ユーザーは、この呼び出しを行うために READ 権限が必要です。

返される lastUpdatedTimestamp は、エポックからのミリ秒単位です。そのようなシークレットスコープが存在しない場合は RESOURCE_DOES_NOT_EXIST スローします。 ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED スローします。

databricks secrets list-secrets SCOPE [flags]

引数

SCOPE

シークレットを一覧表示するスコープの名前。

オプション

グローバルフラグ

databricks secrets put-acl

指定されたスコープ ポイントで、指定されたプリンシパル (ユーザーまたはグループ) に関連付けられたアクセス制御リスト (ACL) を作成または上書きします。

一般に、ユーザーまたはグループは、利用可能な最も強力な権限を使用し、権限は次のように順序付けられます。

  • MANAGE ACL の変更、およびこのシークレットスコープの読み取りと書き込みを許可します。
  • WRITE このシークレットスコープの読み取りと書き込みを許可します。
  • READ このシークレットスコープを読み、利用可能なシークレットをリストすることができます。

一般に、シークレット値は、 コマンド の クラスター (ノートブックなど)。 クラスターの外部で実際の秘密値マテリアルを読み取る API はありません。 ただし、ユーザーの権限はコマンドを実行しているユーザーに基づいて適用され、少なくとも READ 権限が必要です。

ユーザーは、このコマンドを呼び出すための MANAGE 権限を持っている必要があります。

プリンシパルは、アクセスを許可または取り消す既存の Databricks プリンシパルに対応するユーザー名またはグループ名です。

そのようなシークレットスコープが存在しない場合は RESOURCE_DOES_NOT_EXIST スローします。 プリンシパルのアクセス許可が既に存在する場合は、 RESOURCE_ALREADY_EXISTS スローします。アクセス許可またはプリンシパルが無効な場合に INVALID_PARAMETER_VALUE スローします。ユーザーがこの呼び出しを行う権限を持っていない場合、 PERMISSION_DENIED スローします。

databricks secrets put-acl SCOPE PRINCIPAL PERMISSION [flags]

引数

SCOPE

アクセス許可を適用するスコープの名前。

PRINCIPAL

アクセス許可が適用されるプリンシパル。

PERMISSION

プリンシパルに適用されるアクセス許可レベル。サポートされている値: MANAGEREADWRITE

オプション

--json JSON

インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。

グローバルフラグ

databricks secrets put-secret

指定されたスコープの下に、指定された名前でシークレットを挿入します。同じ名前のシークレットが既に存在する場合、このコマンドは既存のシークレットの値を上書きします。サーバーは、シークレットスコープの暗号化設定を使用してシークレットを暗号化してから、シークレットを保存します。

シークレットスコープに対する WRITE または MANAGE 権限が必要です。 シークレットキーは、英数字、ダッシュ、アンダースコア、ピリオドで構成され、128 文字を超えることはできません。 許可されるシークレット値の最大サイズは 128 KB です。特定のスコープ内のシークレットの最大数は 1000 です。

引数 string-value または bytes-value は、シークレットの型を指定し、シークレット値が要求されたときに返される値を決定します。

シークレット値は、次の 3 つの方法のいずれかで指定できます。

  • --string-value フラグを使用して値を文字列として指定します。
  • 対話形式でプロンプトが表示されたら、シークレットを入力します (単一行のシークレット)。
  • 標準入力 (複数行のシークレット) を介してシークレットを渡します。
databricks secrets put-secret SCOPE KEY [flags]

引数

SCOPE

シークレットを格納するスコープの名前。

KEY

シークレットのキー名。

オプション

--bytes-value string

指定すると、値はバイトとして格納されます。

--json JSON

インライン JSON 文字列、またはリクエスト本文を含む JSON ファイルへの@path。

--string-value string

指定した場合、値は UTF-8 (MB4) 形式で格納されることに注意してください。

グローバルフラグ

グローバルフラグ

--debug

デバッグログを有効にするかどうか。

-h または --help

Databricks CLI、関連するコマンド グループ、または関連するコマンドのヘルプを表示します。

--log-file string

出力ログの書き込み先となるファイルを表す文字列。このフラグが指定されていない場合、デフォルトでは出力ログが stderr に書き込まれます。

--log-format format

ログ・フォーマット・タイプ ( text または json) 。デフォルト値は textです。

--log-level string

ログ形式レベルを表す文字列。指定しない場合、ログ・フォーマット・レベルは使用不可になります。

-o, --output タイプ

コマンド出力タイプ text または json。デフォルト値は textです。

-p, --profile string

コマンドの実行に使用する ~/.databrickscfg ファイル内のプロファイルの名前。このフラグが指定されていない場合、存在する場合は、 DEFAULT という名前のプロファイルが使用されます。

--progress-format format

進行状況ログを表示する形式: defaultappendinplacejson

-t, --target string

該当する場合は、使用するバンドル・ターゲット