秘密访问控制
请注意
本文提到了CLI,这个版本中不可用的砖在谷歌的云。您还可以使用的秘密秘密的API。
默认情况下,所有用户在所有定价计划可以创建秘密和秘密的范围。使用秘密访问控制,可用的保费计划,您可以配置细粒度权限管理访问控制。本指南描述了如何设置这些控件。
秘密访问控制
访问控制的秘密秘密范围级别的管理。一个访问控制列表(ACL)定义了一个关系砖主要(用户、服务主体或组),秘密范围和权限级别。一般来说,用户将使用最强大的权限可用(参见权限级别)。
当一个秘密是读通过笔记本使用秘密效用(dbutils.secrets),用户的权限将被应用基于执行的命令,他们必须至少有读许可。
当创建一个范围,一个初始管理权限级别应用ACL范围。随后的访问控制配置可以由本金。
权限级别
秘密访问权限如下:
管理——允许改变acl,读和写这个秘密范围。
写——允许读和写这个秘密范围。
读——允许读这个秘密范围和列表什么秘密是可用的。
每个权限级别是以前的一个子集(即主要的权限写许可对于一个给定的范围可以执行所有操作要求读许可)。
请注意
砖管理员有管理在工作区中所有秘密范围权限。
创建一个秘密ACL
创建给定秘密秘密ACL范围使用砖CLI(是0.7.1及以上版本):
砖秘密put-acl——范围< scope-name >主要<校长>——<许可>许可
主要的put请求,已经应用权限覆盖现有的权限级别。
的主要字段指定一个现有的砖本金。指定一个用户使用他们的电子邮件地址,使用其服务主体applicationId值,和一群使用它的组名。
视图秘密acl
查看所有秘密acl对于一个给定的秘密范围:
砖秘密list-acls——范围< scope-name >
秘密的ACL应用主要为给定的秘密范围:
砖秘密get-acl——范围< scope-name >主要<校长>
如果不存在ACL的主体和范围,该请求将失败。
起程拓殖集成
你可以在一个完全自动化的管理权限设置使用砖起程拓殖的提供者和databricks_secret_acl:
资源”databricks_group”“ds”{display_name =“数据科学家”}资源“databricks_secret_scope”“应用”{name = " app-secret-scope}资源“databricks_secret_acl”“my_secret_acl”{= databricks_group.ds校长。display_name许可=“读”范围= databricks_secret_scope.app.name}资源“databricks_secret”“publishing_api”{键=“publishing_api string_value”=“SECRET_API_TOKEN_HERE”范围= databricks_secret_scope.app.name}