秘密訪問控製
請注意
本文提到了CLI,這個版本中不可用的磚在穀歌的雲。您還可以使用的秘密秘密的API。
默認情況下,所有用戶在所有定價計劃可以創建秘密和秘密的範圍。使用秘密訪問控製,可用的保費計劃,您可以配置細粒度權限管理訪問控製。本指南描述了如何設置這些控件。
秘密訪問控製
訪問控製的秘密秘密範圍級別的管理。一個訪問控製列表(ACL)定義了一個關係磚主要(用戶、服務主體或組),秘密範圍和權限級別。一般來說,用戶將使用最強大的權限可用(參見權限級別)。
當一個秘密是讀通過筆記本使用秘密效用(dbutils.secrets),用戶的權限將被應用基於執行的命令,他們必須至少有讀許可。
當創建一個範圍,一個初始管理權限級別應用ACL範圍。隨後的訪問控製配置可以由本金。
權限級別
秘密訪問權限如下:
管理——允許改變acl,讀和寫這個秘密範圍。
寫——允許讀和寫這個秘密範圍。
讀——允許讀這個秘密範圍和列表什麼秘密是可用的。
每個權限級別是以前的一個子集(即主要的權限寫許可對於一個給定的範圍可以執行所有操作要求讀許可)。
請注意
磚管理員有管理在工作區中所有秘密範圍權限。
創建一個秘密ACL
創建給定秘密秘密ACL範圍使用磚CLI(遺留)(是0.7.1及以上版本):
磚秘密put-acl——範圍< scope-name >主要<校長>——<許可>許可
主要的put請求,已經應用權限覆蓋現有的權限級別。
的主要
字段指定一個現有的磚本金。指定一個用戶使用他們的電子郵件地址,使用其服務主體applicationId
值,和一群使用它的組名。
視圖秘密acl
查看所有秘密acl對於一個給定的秘密範圍:
磚秘密list-acls——範圍< scope-name >
秘密的ACL應用主要為給定的秘密範圍:
磚秘密get-acl——範圍< scope-name >主要<校長>
如果不存在ACL的主體和範圍,該請求將失敗。
起程拓殖集成
你可以在一個完全自動化的管理權限設置使用磚起程拓殖的提供者和databricks_secret_acl:
資源”databricks_group”“ds”{display_name =“數據科學家”}資源“databricks_secret_scope”“應用”{name = " app-secret-scope}資源“databricks_secret_acl”“my_secret_acl”{= databricks_group.ds校長。display_name許可=“讀”範圍= databricks_secret_scope.app.name}資源“databricks_secret”“publishing_api”{鍵=“publishing_api string_value”=“SECRET_API_TOKEN_HERE”範圍= databricks_secret_scope.app.name}