Secret Scopes

O gerenciamento de segredos começa com a criação de um Secret Scope (escopo secreto). Um Secret Scope é uma coleção de segredos identificados por um nome.

O site workspace está limitado a um máximo de 1.000 Secret Scope. Entre em contato com a equipe de suporte da Databricks se precisar de mais informações.

Observação

A Databricks recomenda alinhar Secret Scopes a funções ou aplicativos, e não a indivíduos.

Visão geral

Um Secret Scope com suporte do Databricks é armazenado em um banco de dados criptografado de propriedade e gerenciado pelo Databricks.O nome do Secret Scope:

  • Deve ser exclusivo em um workspace.

  • Deve consistir em caracteres alfanuméricos, traços, sublinhados, e pontos @, e não pode exceder 128 caracteres.

Os nomes são considerados não confidenciais e podem ser lidos por todos os usuários no workspace.

Você cria um Secret Scope apoiado pelo Databricks usando a CLI do Databricks (versão 0.205 e acima). Como alternativa, você pode usar a API Secrets.

Permissões de escopo

Os escopos são criados com permissões controladas por ACLs secretas. Em default, os escopos são criados com a permissão gerenciar para o usuário que criou o escopo (o "criador"), o que permite que o criador leia os segredos no escopo, grave segredos no escopo e altere as ACLs do escopo. Se o seu account tiver o plano Premium ou acima, o senhor poderá atribuir permissões granulares a qualquer momento depois de criar o escopo. Para obter detalhes, consulte ACLs secretas.

O senhor também pode substituir o default e conceder explicitamente a permissão de gerenciar a todos os usuários ao criar o escopo. Na verdade, o senhor deve fazer isso se o seu account não tiver o plano Premium ou acima.

Criar um Secret Scope apoiado pelo Databricks

Os nomes de Secret Scope não se diferenciam por maiúsculas e minúsculas.

Para criar um escopo usando a CLI do Databricks:

databricks secrets create-scope <scope-name>

Em default, os escopos são criados com permissão de gerenciar para o usuário que criou o escopo. Se o seu account não tiver o plano Premium ou acima, o senhor deverá substituir esse default e conceder explicitamente a permissão de gerenciar a "users" (todos os usuários) ao criar o escopo:

databricks secrets create-scope <scope-name> --initial-manage-principal users

Você também pode criar um Secret Scope apoiado por Databricks usando a API Secrets.

Se o seu account tiver o plano Premium ou acima, o senhor poderá alterar as permissões a qualquer momento após criar o escopo. Para obter detalhes, consulte ACLs secretas.

Depois de criar um Secret Scope com suporte do Databricks, você pode adicionar segredos.

Listar Secret Scopes

Para listar os escopos existentes em um espaço de trabalho usando a CLI:

databricks secrets list-scopes

Você também pode listar os escopos existentes usando a API Secrets.

Excluir um Secret Scope

A exclusão de um Secret Scope exclui todos os segredos e ACLs aplicados ao escopo. Para excluir um escopo usando a CLI, execute o seguinte:

databricks secrets delete-scope <scope-name>

Você também pode excluir um Secret Scope usando a API Secrets.