秘密访问控制

请注意

本文提到了CLI,这个版本中不可用的砖在谷歌的云。您还可以使用的秘密秘密的API

默认情况下,所有用户在所有定价计划可以创建秘密和秘密的范围。使用秘密访问控制,可用的保费计划,您可以配置细粒度权限管理访问控制。本指南描述了如何设置这些控件。

请注意

  • 本文描述了如何管理秘密访问控制使用砖CLI(是0.7.1及以上版本)。或者,您可以使用秘密的API

秘密访问控制

访问控制的秘密秘密范围级别的管理。一个访问控制列表(ACL)定义了一个关系砖主要(用户、服务主体或组),秘密范围和权限级别。一般来说,用户将使用最强大的权限可用(参见权限级别)。

当一个秘密是读通过笔记本使用秘密效用(dbutils.secrets),用户的权限将被应用基于执行的命令,他们必须至少有许可。

当创建一个范围,一个初始管理权限级别应用ACL范围。随后的访问控制配置可以由本金。

权限级别

秘密访问权限如下:

  • 管理——允许改变acl,读和写这个秘密范围。

  • ——允许读和写这个秘密范围。

  • ——允许读这个秘密范围和列表什么秘密是可用的。

每个权限级别是以前的一个子集(即主要的权限许可对于一个给定的范围可以执行所有操作要求许可)。

请注意

砖管理员有管理在工作区中所有秘密范围权限。

创建一个秘密ACL

创建给定秘密秘密ACL范围使用砖CLI(是0.7.1及以上版本):

砖秘密put-acl——范围< scope-name >主要<校长>——<许可>许可

主要的put请求,已经应用权限覆盖现有的权限级别。

主要字段指定一个现有的砖本金。指定一个用户使用他们的电子邮件地址,使用其服务主体applicationId值,和一群使用它的组名。

视图秘密acl

查看所有秘密acl对于一个给定的秘密范围:

砖秘密list-acls——范围< scope-name >

秘密的ACL应用主要为给定的秘密范围:

砖秘密get-acl——范围< scope-name >主要<校长>

如果不存在ACL的主体和范围,该请求将失败。

删除一个秘密ACL

删除一个秘密ACL应用主要为给定的秘密范围:

砖秘密delete-acl——范围< scope-name >主要<校长>

起程拓殖集成

你可以在一个完全自动化的管理权限设置使用砖起程拓殖的提供者databricks_secret_acl:

资源”databricks_group”“ds”{display_name =“数据科学家”}资源“databricks_secret_scope”“应用”{name = " app-secret-scope}资源“databricks_secret_acl”“my_secret_acl”{= databricks_group.ds校长。display_name许可=“读”范围= databricks_secret_scope.app.name}资源“databricks_secret”“publishing_api”{键=“publishing_api string_value”=“SECRET_API_TOKEN_HERE”范围= databricks_secret_scope.app.name}