Pular para o conteúdo principal

Adicionar um recurso secreto a um aplicativo Databricks

É possível adicionar segredos doDatabricks como recurso do aplicativo para transmitir com segurança valores confidenciais, como a chave API ou tokens, para o seu aplicativo. Databricks Os aplicativos suportam segredos armazenados no Secret Scope. Os aplicativos recuperam esses segredos em tempo de execução, o que os mantém fora do código do aplicativo e das definições do ambiente.

Adicionar um recurso secreto

Antes de adicionar um segredo como recurso do aplicativo, verifique se os pré-requisitos foram atendidos.

Siga as etapas deste guia para adicionar um recurso. Selecione Segredo como o tipo de recurso. Então:

  1. Selecione um Escopo Secreto.

  2. Selecione uma chave secreta dentro desse escopo para usar em seu aplicativo.

  3. Escolha um nível de permissão para o escopo (não o segredo individual):

    • Sabe ler — Concede ao aplicativo acesso de leitura a todos os segredos no escopo selecionado.
    • Sabe escrever — Concede permissão ao aplicativo para atualizar qualquer segredo no escopo.
    • Pode gerenciar — Concede ao aplicativo permissão para ler, atualizar e excluir qualquer segredo no escopo.

  4. Atribuir um recurso key. Em seguida, faça referência a este key na seção env do seu arquivo app.yaml usando o campo valueFrom.

nota

Essas etapas permitem que o aplicativo acesse com segurança um segredo selecionado do escopo, passando seu valor como uma variável de ambiente.

No entanto, as permissões secretas se aplicam no nível do escopo , não no segredo individual. Para restringir o acesso entre aplicativos, crie um Escopo Secreto separado para cada aplicativo e armazene apenas os segredos necessários nesse escopo.

variável ambiental

Quando você implanta um aplicativo que utiliza recursos secretos, o Databricks injeta cada segredo como uma variável de ambiente. O nome de cada variável corresponde ao recurso key que você definiu ao adicionar o segredo.

Para acessar o segredo a partir do seu aplicativo, utilize essa variável de ambiente. No arquivo de configuração do seu aplicativo (como app.yaml), defina uma variável que faça referência ao segredo usando o campo valueFrom. Essa configuração garante que o valor secreto real permaneça protegido por Databricks e não seja exposto em texto simples.

Se utilizar o mesmo segredo em várias entradas de recurso com chaves de recurso diferentes, cada uma delas se tornará uma variável de ambiente separada quando referenciada em valueFrom.

Para obter mais informações, consulte Acessar variável de ambiente em recursos.

important

Nunca armazene valores confidenciais diretamente em variáveis de ambiente ou no código do seu aplicativo. Em vez disso, passe o recurso key para Databricks como uma variável de ambiente e recupere o valor secreto de forma segura em tempo de execução.

Remover um recurso secreto

Quando você remove um recurso secreto de um aplicativo, o segredo em si permanece no Escopo Secreto. No entanto, o aplicativo perde o acesso ao segredo, a menos que você o adicione novamente.

Melhores práticas para gerenciar segredos

Siga estas práticas recomendadas ao gerenciar segredos em seu aplicativo:

  • Não exponha valores secretos brutos . Os valores secretos inseridos diretamente como variável de ambiente aparecem em texto simples na página Ambiente do aplicativo. Para evitar isso, faça referência ao segredo usando o campo valueFrom na configuração do seu aplicativo e recupere o valor com segurança no código do seu aplicativo.
  • Conceda permissões mínimas . Limite o acesso do aplicativo somente aos escopos específicos de que ele precisa. Evite conceder acesso a todos os escopos no arquivo workspace.
  • Alterne os segredos regularmente . Estabeleça um programa de rotação para todos os segredos e faça a rotação imediatamente quando um membro da equipe mudar de função ou deixar a organização.
Última atualização em