Pular para o conteúdo principal

Adicionar um recurso secreto a um aplicativo Databricks

Adicione Databricks secrets como Databricks Apps recurso para passar com segurança valores confidenciais, como API key ou tokens, para o seu aplicativo. Databricks Os aplicativos são compatíveis com segredos armazenados no escopo secreto. Os aplicativos recuperam esses segredos em tempo de execução, o que os mantém fora do código do aplicativo e das definições do ambiente.

Adicionar um recurso secreto

Antes de adicionar um segredo como recurso do aplicativo, verifique se os pré-requisitos foram atendidos.

  1. Na seção Recurso do aplicativo , ao criar ou editar um aplicativo, clique em + Adicionar recurso .

  2. Selecione Secret como o tipo de recurso.

  3. Selecione um Escopo Secreto.

  4. Selecione uma chave secreta dentro desse escopo para usar em seu aplicativo.

  5. Escolha um nível de permissão para o escopo (não o segredo individual):

    • Sabe ler: concede ao aplicativo acesso de leitura a todos os segredos no escopo selecionado.
    • Sabe escrever: concede ao aplicativo permissão para atualizar qualquer segredo no escopo.
    • Pode gerenciar: Concede ao aplicativo permissão para ler, atualizar e excluir qualquer segredo no escopo.
  6. (Opcional) Especifique um recurso personalizado key, que é como o senhor faz referência ao segredo na configuração do aplicativo. O default key é secret.

nota

Essas etapas permitem que o aplicativo acesse com segurança um segredo selecionado do escopo, passando seu valor como uma variável de ambiente.

No entanto, as permissões secretas se aplicam no nível do escopo , não no segredo individual. Para restringir o acesso entre aplicativos, crie um Escopo Secreto separado para cada aplicativo e armazene apenas os segredos necessários nesse escopo.

variável ambiental

Quando você implanta um aplicativo que utiliza recursos secretos, o Databricks injeta cada segredo como uma variável de ambiente. O nome de cada variável corresponde ao recurso key que você definiu ao adicionar o segredo.

Para acessar o segredo a partir do seu aplicativo, utilize essa variável de ambiente. No arquivo de configuração do seu aplicativo (como app.yaml), defina uma variável que faça referência ao segredo usando o campo valueFrom. Essa configuração garante que o valor secreto real permaneça protegido por Databricks e não seja exposto em texto simples.

Se utilizar o mesmo segredo em várias entradas de recurso com chaves de recurso diferentes, cada uma delas se tornará uma variável de ambiente separada quando referenciada em valueFrom.

Para obter mais informações, consulte Acessar variável de ambiente em recursos.

important

Nunca armazene valores confidenciais diretamente em variáveis de ambiente ou no código do seu aplicativo. Em vez disso, passe o recurso key para Databricks como uma variável de ambiente e recupere o valor secreto de forma segura em tempo de execução.

Remover um recurso secreto

Quando você remove um recurso secreto de um aplicativo, o segredo em si permanece no Escopo Secreto. No entanto, o aplicativo perde o acesso ao segredo, a menos que você o adicione novamente.

Melhores práticas

Siga estas práticas recomendadas ao gerenciar segredos em seu aplicativo:

  • Não exponha valores secretos brutos. Os valores secretos injetados diretamente como variável de ambiente aparecem em texto simples na página Environment do aplicativo. Para evitar isso, faça referência ao segredo usando o campo valueFrom na configuração do seu aplicativo e recupere o valor com segurança no código do seu aplicativo.
  • Limite o acesso do aplicativo somente aos escopos específicos de que ele precisa. Evite conceder acesso a todos os escopos no site workspace.
  • Estabeleça um programa de rodízio para todos os segredos e faça o rodízio imediatamente quando um membro da equipe mudar de função ou deixar a organização.