Secret Scopes

O gerenciamento de segredos começa com a criação de um Secret Scope (escopo secreto). Um Secret Scope é uma coleção de segredos identificados por um nome.

O site workspace está limitado a um máximo de 1.000 Secret Scope. Entre em contato com a equipe de suporte da Databricks se precisar de mais informações.

Observação

A Databricks recomenda alinhar Secret Scopes a funções ou aplicativos, e não a indivíduos.

Visão geral

Um Secret Scope com suporte do Databricks é armazenado em um banco de dados criptografado de propriedade e gerenciado pelo Databricks.O nome do Secret Scope:

  • Deve ser exclusivo em um workspace.

  • Deve consistir em caracteres alfanuméricos, traços, sublinhados, e pontos @, e não pode exceder 128 caracteres.

Os nomes são considerados não confidenciais e podem ser lidos por todos os usuários no workspace.

Você cria um Secret Scope apoiado pelo Databricks usando a CLI do Databricks (versão 0.205 e acima). Como alternativa, você pode usar a API Secrets.

Permissões de escopo

Os escopos são criados com permissões controladas por ACLs secretas. Em default, os escopos são criados com permissão MANAGE para o usuário que criou o escopo (o "criador"), o que permite que o criador leia segredos no escopo, grave segredos no escopo e altere as ACLs do escopo. Se o seu account tiver o plano Premium ou acima, o senhor poderá atribuir permissões granulares a qualquer momento depois de criar o escopo. Para obter detalhes, consulte ACLs secretas.

Você também pode substituir o padrão e conceder explicitamente MANAGE permissão a todos os usuários ao criar o escopo. Na verdade, você deve fazer isso se a sua conta não tiver o plano Premium ouacima.

Criar um Secret Scope apoiado pelo Databricks

Os nomes de Secret Scope não se diferenciam por maiúsculas e minúsculas.

Para criar um escopo usando a CLI do Databricks:

databricks secrets create-scope <scope-name>

Por padrão, os escopos são criados com permissão MANAGE para o usuário que criou o escopo. Se a sua conta não tiver o plano Premium ouacima, você deverá substituir esse padrão e conceder explicitamente a permissão MANAGE aos “usuários” (todos os usuários) ao criar o escopo:

databricks secrets create-scope <scope-name> --initial-manage-principal users

Você também pode criar um Secret Scope apoiado por Databricks usando a API Secrets.

Se o seu account tiver o plano Premium ou acima, o senhor poderá alterar as permissões a qualquer momento após criar o escopo. Para obter detalhes, consulte ACLs secretas.

Depois de criar um Secret Scope com suporte do Databricks, você pode adicionar segredos.

Listar Secret Scopes

Para listar os escopos existentes em um espaço de trabalho usando a CLI:

databricks secrets list-scopes

Você também pode listar os escopos existentes usando a API Secrets.

Excluir um Secret Scope

A exclusão de um Secret Scope exclui todos os segredos e ACLs aplicados ao escopo. Para excluir um escopo usando a CLI, execute o seguinte:

databricks secrets delete-scope <scope-name>

Você também pode excluir um Secret Scope usando a API Secrets.