シークレットスコープ

シークレットの管理は、シークレットのスコープの作成から始まります。シークレットのスコープは、名前によって識別されるシークレットの集まりです。

ワークスペースは最大 1000 シークレットスコープに制限されています。 さらに必要な場合は、Databricks サポート チームにお問い合わせください。

Databricksでは、シークレットスコープを個人ではなくロールまたはアプリケーションに合わせることを推奨しています。

概要

Databricksでサポートされているシークレットスコープは、Databricksが所有・管理する暗号化されたデータベースに保存されます(バックアップされます)。シークレットスコープ名:

  • ワークスペース内で一意である必要があります。

  • 英数字、ダッシュ、アンダースコア、@、ピリオドで構成され、128文字を超えることはできません。

名前は機密ではないと見なされ、ワークスペース内のすべてのユーザーが読み取ることができます。

Databricks CLI (バージョン 0.205 以降) を使用して、Databricks でサポートされるシークレットスコープを作成します。または、 Secrets API を使用することもできます。

スコープの権限

スコープは、 シークレット ACL によって制御されるアクセス許可で作成されます。 デフォルトでは、スコープは、スコープを作成したユーザー (「作成者」) のMANAGE権限で作成されます。これにより、作成者はスコープ内のシークレットの読み取り、スコープへのシークレットの書き込み、スコープの ACL の変更が可能になります。 アカウントにプレミアム プランがある場合は、スコープの作成後、いつでも詳細な権限を割り当てることができます。 詳細については、「 シークレット ACL」を参照してください。

また、デフォルトをオーバーライドして、スコープの作成時にすべてのユーザーに MANAGE アクセス許可を明示的に付与することもできます。 実際、アカウントに プレミアムプラン がない場合は、これを行う 必要があります 。

DatabricksでサポートされているSecretスコープを作成する

シークレットスコープ名は大文字と小文字を区別しません。

Databricks CLIを使用してスコープを作成するには、次の手順を実行します。

databricks secrets create-scope <scope-name>

既定では、スコープは、スコープを作成したユーザーの MANAGE アクセス許可で作成されます。 アカウントに Premium プランがない場合は、そのデフォルトをオーバーライドし、スコープの作成時に "users" (すべてのユーザー) に MANAGE アクセス許可を明示的に付与する必要があります

databricks secrets create-scope <scope-name> --initial-manage-principal users

Secrets APIを使用してDatabricksでサポートされているシークレットスコープを作成することもできます。

アカウントにプレミアム プランがある場合は、スコープの作成後いつでも権限を変更できます。 詳細については、「 シークレット ACL」を参照してください。

Databricksでサポートされているシークレットスコープを作成したら、シークレットを追加できます。

シークレットスコープをリストする

CLIを使用してワークスペース内の既存のスコープを一覧表示するには、次の手順を実行します。

databricks secrets list-scopes

また、Secrets API を使用して既存のスコープを一覧表示することもできます。

シークレットスコープを削除する

シークレットスコープを削除すると、そのスコープに適用されているすべてのシークレットと ACL が削除されます。 CLI を使用してスコープを削除するには、次のコマンドを実行します。

databricks secrets delete-scope <scope-name>

Secrets APIを使用してシークレットスコープを削除することもできます。