メインコンテンツまでスキップ

シークレット管理

JDBCを介して外部データソースにアクセスする場合、多くの場合、認証が必要になります。資格情報をノートブックに直接入力するのではなく、Databricks シークレットを使用して資格情報を安全に保存し、ノートブックやジョブで参照できます。このアプローチにより、セキュリティが強化され、資格情報の管理が簡素化されます。このページでは、Databricks シークレットの概要について説明します。

注記

Databricks では、Unity Catalog を使用してクラウド ストレージ内のデータへのアクセスを構成することをお勧めします。「Unity Catalog を使用してクラウド オブジェクト ストレージとサービスに接続する」を参照してください。

シークレットの概要

シークレットを設定して使用するには、次の操作を行います。

  1. シークレットスコープを作成します。 シークレットスコープは、名前で識別されるシークレットのコレクションです。
  2. スコープにシークレットを追加する
  3. シークレットスコープに対する権限を割り当てます。
  4. コード内のシークレットを参照します。

ワークフローでシークレットを使用する方法のエンドツーエンドの例については、「 チュートリアル: Databricks シークレットを作成して使用する」を参照してください。 Spark 構成プロパティまたは環境変数でシークレットを使用するには、「 Spark 構成プロパティまたは環境変数でシークレットを使用する」を参照してください。

警告

ワークスペース管理者、シークレット作成者、およびアクセス許可が付与されたユーザーは、Databricks シークレットにアクセスして読み取ることができます。Databricks はノートブック出力のシークレット値を編集しようとしますが、これらのユーザーがシークレット コンテンツを表示するのを完全に防ぐことはできません。機密情報を保護するために、常にシークレット アクセス許可を慎重に割り当ててください。

シークレットスコープの管理

シークレットのスコープは、名前によって識別されるシークレットの集まりです。 Databricksでは、シークレットスコープを個人ではなくロールまたはアプリケーションに合わせることを推奨しています。

シークレットスコープは、 Databricksが所有および管理する暗号化されたデータベースに格納されます。

シークレットスコープを作成した後、ユーザーにシークレットスコープの読み取り、書き込み、管理のアクセス権を付与する権限を割り当てることができます。

シークレットスコープを作成する

このセクションでは、Databricks CLI (バージョン 0.205 以降) または Databricks ワークスペース UI を使用してシークレットスコープを作成する方法について説明します。Secrets API を使用することもできます。

シークレットスコープ の名前:

  • ワークスペース内で一意である必要があります。
  • 英数字、ダッシュ、アンダースコア、 @、ピリオドで構成する必要があり、128 文字を超えることはできません。
  • 大文字と小文字は区別されません。

シークレットスコープの名前は機密性がないと見なされ、ワークスペース内のすべてのユーザーが読み取ることができます。

To create a scope using the Databricks CLI:

Bash
databricks secrets create-scope <scope-name>

By default, scopes are created with MANAGE permission for the user who created the scope. After you have created a Databricks-backed secret scope, you can add secrets to it.

シークレットスコープを一覧表示する

CLIを使用してワークスペース内の既存のスコープを一覧表示するには、次の手順を実行します。

Bash
databricks secrets list-scopes

Secrets API を使用してシークレットスコープを一覧表示することもできます。

シークレットスコープを削除する

シークレットスコープを削除すると、スコープに適用されているすべてのシークレットと ACL が削除されます。 CLI を使用してスコープを削除するには、次のコマンドを実行します。

Bash
databricks secrets delete-scope <scope-name>

Secrets APIを使用してシークレットスコープを削除することもできます。

シークレットを管理する

シークレットは、シークレットスコープ内で一意のキー名を使用して機密資料を保存するキーと値のペアです。

このセクションでは、Databricks CLI (バージョン0.205以降)を使用してシークレットスコープを作成する方法について説明します。Secrets API を使用することもできます。シークレットの名前では、大文字と小文字は区別されません。

シークレットを作成する

このセクションでは、 Databricks CLI (バージョン 0.205 以降) を使用してシークレットを作成する方法、または Databricks SDK for Python を使用してノートブックでシークレットを作成する方法について説明します。 Secrets API を使用することもできます。シークレットの名前では、大文字と小文字は区別されません。

When you create a secret in a Databricks-backed scope, you can specify the secret value in one of three ways:

  • Specify the value as a string using the –string-value flag.
  • Input the secret when prompted interactively (single-line secrets).
  • Pass the secret using standard input (multi-line secrets).

For example:

Bash
databricks secrets put-secret --json '{
"scope": "<scope-name>",
"key": "<key-name>",
"string_value": "<secret>"
}'

If you are creating a multi-line secret, you can pass the secret using standard input. For example:

Bash
(cat << EOF
this
is
a
multi
line
secret
EOF
) | databricks secrets put-secret <scope-name> <key-name>

シークレットの読み込み

このセクションでは、 Databricks CLI (バージョン 0.205 以降) を使用してシークレットを読み取る方法、または シークレット ユーティリティ (dbutils.secrets) を使用してノートブックでシークレットを読み取る方法について説明します。

In order to read the value of a secret using the Databricks CLI, you must decode the base64 encoded value. You can use jq to extract the value and base --decode to decode it:

Bash
databricks secrets get-secret <scope-name> <key-name> | jq -r .value | base64 --decode

シークレットを一覧表示する

特定のスコープ内のシークレットを一覧表示するには、以下の手順を実行します。

Bash
databricks secrets list-secrets <scope-name>

レスポンスには、シークレットキーの名前など、シークレットに関するメタデータ情報が表示されます。 シークレット・ユーティリティ (dbutils.secrets) を使用します。 ノートブックまたはジョブで、このメタデータを一覧表示します。 例えば:

dbutils.secrets.list('my-scope')

シークレットを削除する

Databricks CLIを使用してスコープからシークレットを削除するには、以下の手順を実行します。

Bash
databricks secrets delete-secret <scope-name> <key-name>

Secrets APIを使用することもできます。

シークレットスコープ 権限の管理

デフォルトでは、シークレットスコープを作成するユーザーには MANAGE アクセス許可が付与されます。 これにより、スコープ作成者は、スコープ内のシークレットを読み取り、スコープにシークレットを書き込み、スコープに対するアクセス許可を管理できます。

このセクションでは、 Databricks CLI (バージョン 0.205 以降) を使用してシークレット アクセス制御を管理する方法について説明します。 Secrets API を使用することもできます。シークレットのアクセス許可レベルについては、シークレット ACLを参照してください。

シークレットスコープに対するユーザーの権限を付与する

Databricks CLIを使用してユーザーにシークレットスコープの権限を付与するには:

Bash
databricks secrets put-acl <scope-name> <principal> <permission>

すでにアクセス許可が適用されているプリンシパルに対して put リクエストを実行すると、既存のアクセス許可レベルが上書きされます。

principal フィールドは、既存の Databricks プリンシパルを指定します。ユーザーは Eメール アドレスで、サービスプリンシパルは applicationId 値で、グループはグループ名で指定します。 詳細については、「 プリンシパル」を参照してください。

シークレットスコープ 権限の参照

特定のシークレットスコープのすべてのシークレットスコープのアクセス許可を表示するには:

Bash
databricks secrets list-acls <scope-name>

特定のシークレットスコープのプリンシパルに適用されたシークレットスコープのアクセス許可を取得するには:

Bash
databricks secrets get-acl <scope-name> <principal>

指定されたプリンシパルとスコープの ACL が存在しない場合、この要求は失敗します。

シークレットスコープ アクセス許可を削除する

特定のシークレットスコープのプリンシパルに適用されたシークレットスコープのアクセス許可を削除するには:

Bash
databricks secrets delete-acl <scope-name> <principal>

シークレットの除外

資格情報を Databricks シークレットとして保存すると、ノートブックやジョブを実行するときに資格情報を簡単に保護できます。 ただし、誤ってシークレットを標準出力バッファーに印刷したり、変数の代入中に値を表示したりことは簡単に起こりえます。

これを防ぐために、Databricks は dbutils.secrets.get()を使用して読み取られるすべてのシークレット値を除外します。 ノートブックのセル出力に表示されると、シークレット値は [REDACTED]に置き換えられます。

たとえば、 dbutils.secrets.get() を使用して変数をシークレット値に設定し、その変数を印刷すると、その変数は [REDACTED]に置き換えられます。

警告

ノートブック セル出力のシークレット除外は、リテラルにのみ適用されます。 シークレット除外機能は、シークレットリテラルの意図的かつ任意の変換を防ぐものではありません。 シークレットを適切に制御するには、 アクセス制御リスト を使用して、コマンドを実行するアクセス許可を制限する必要があります。 これにより、共有ノートブック コンテキストへの不正アクセスが防止されます。