シークレットスコープ

シークレットの管理は、シークレットのスコープの作成から始まります。シークレットのスコープは、名前によって識別されるシークレットの集まりです。

ワークスペースは最大 1000 シークレットスコープに制限されています。 さらに必要な場合は、Databricks サポート チームにお問い合わせください。

Databricksでは、シークレットスコープを個人ではなくロールまたはアプリケーションに合わせることを推奨しています。

概要

Databricksでサポートされているシークレットスコープは、Databricksが所有・管理する暗号化されたデータベースに保存されます(バックアップされます)。シークレットスコープ名:

  • ワークスペース内で一意である必要があります。

  • 英数字、ダッシュ、アンダースコア、@、ピリオドで構成され、128文字を超えることはできません。

名前は機密ではないと見なされ、ワークスペース内のすべてのユーザーが読み取ることができます。

Databricks CLI (バージョン 0.205 以降) を使用して、Databricks でサポートされるシークレットスコープを作成します。または、 Secrets API を使用することもできます。

スコープの権限

スコープは、 シークレット ACL によって制御されるアクセス許可で作成されます。 デフォルトでは、スコープは、スコープを作成したユーザー (「作成者」) のMANAGE権限で作成されます。これにより、作成者はスコープ内のシークレットの読み取り、スコープへのシークレットの書き込み、スコープの ACL の変更が可能になります。 アカウントにプレミアム プラン以上がある場合は、スコープの作成後、いつでも詳細な権限を割り当てることができます。 詳細については、「 シークレット ACL」を参照してください。

スコープを作成するときに、デフォルト設定を変更し、MANAGE権限をすべてのユーザーに明示的に与えることもできます。アカウントがプレミアムプラン以上ではない場合は、むしろこれを実施する必要があります

DatabricksでサポートされているSecretスコープを作成する

シークレットスコープ名は大文字と小文字を区別しません。

Databricks CLIを使用してスコープを作成するには、次の手順を実行します。

databricks secrets create-scope <scope-name>

デフォルトでは、スコープは、スコープを作成したユーザー用のMANAGE権限で作成されます。アカウントがプレミアムプラン以上でない場合は、スコープ作成時にそのデフォルト設定を変更し、MANAGE 権限を[ユーザー](全ユーザー)に明示的に付与する 必要があります

databricks secrets create-scope <scope-name> --initial-manage-principal users

Secrets APIを使用してDatabricksでサポートされているシークレットスコープを作成することもできます。

アカウントがプレミアム プラン以上の場合は、スコープの作成後いつでも権限を変更できます。 詳細については、「 シークレット ACL」を参照してください。

Databricksでサポートされているシークレットスコープを作成したら、シークレットを追加できます。

シークレットスコープをリストする

CLIを使用してワークスペース内の既存のスコープを一覧表示するには、次の手順を実行します。

databricks secrets list-scopes

シークレット API を使用して既存のスコープを一覧表示することもできます。

シークレットスコープを削除する

シークレットスコープを削除すると、そのスコープに適用されているすべてのシークレットと ACL が削除されます。 CLI を使用してスコープを削除するには、次のコマンドを実行します。

databricks secrets delete-scope <scope-name>

Secrets APIを使用してシークレットスコープを削除することもできます。