秘密訪問控製
缺省情況下,所有定價方案中的所有用戶都可以創建秘密和秘密作用域。使用秘密訪問控製,可與優質計劃或以上,可以配置細粒度權限,用於管理訪問控製。本指南描述如何設置這些控件。
請注意
秘密訪問控製
秘密的訪問控製在秘密範圍級別進行管理。訪問控製列表(ACL)定義Databricks主體(用戶或組)、秘密範圍和權限級別之間的關係。通常,用戶將使用他們所能獲得的最強大的權限(參見權限級別).
當一個秘密通過筆記本讀秘密效用(dbutils.secrets),用戶的權限將根據執行命令的人應用,他們必須至少有讀許可。
創建作用域時,初始值為管理權限級別ACL應用於範圍。後續的訪問控製配置可以由該主體執行。
權限級別
秘密訪問權限如下:
管理—允許修改acl,允許對該秘密作用域進行讀寫操作。
寫—允許對這個秘密作用域進行讀寫。
讀-允許閱讀這個秘密範圍和列出什麼秘密是可用的。
每個權限級別都是前一級別權限的子集(即具有的主體)寫給定範圍的權限可以執行所需的所有操作讀許可)。
請注意
磚管理員有管理對工作區中所有秘密作用域的權限。
創建一個秘密ACL
方法為給定的秘密作用域創建秘密ACL磚CLI(0.7.1及以上版本):
put-acl——scope ——principal ——permission
對已經具有應用權限的主體發出put請求將覆蓋現有權限級別。
視圖秘密acl
查詢指定秘密作用域的所有秘密acl。
Databricks secrets list-acl——scope
要將秘密ACL應用於給定秘密作用域的主體,請執行以下操作:
Databricks secrets get-acl——scope ——principal
如果給定主體和作用域不存在ACL,則此請求將失敗。
起程拓殖集成
您可以在完全自動化的設置中使用磚起程拓殖的提供者而且databricks_secret_acl:
資源"databricks_group" "ds" {display_name = "data-scientists"}資源"databricks_secret_scope" "app" {name = "app-secret-scope"}資源"databricks_secret_acl" "my_secret_acl" {principal = databricks_group.ds. "display_name permission = "READ" scope = databricks_secret_scope.app.name}資源"databricks_secret" "publishing_api" {key = "publishing_api" string_value = "SECRET_API_TOKEN_HERE" scope = databricks_secret_scope.app.name}