Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ajoutez des secrets Databricks en tant que ressources Databricks Apps pour transmettre en toute sécurité des valeurs sensibles, telles que des clés d’API ou des jetons, à votre application. Databricks Apps prend en charge les secrets stockés dans des périmètres de secrets. Les applications récupèrent ces secrets au moment de l’exécution, ce qui les empêche de définir le code et l’environnement de votre application.
Ajouter une ressource secrète
Avant d’ajouter un secret en tant que ressource, passez en revue les prérequis des ressources d’application.
- Dans la section Ressources de l’application lorsque vous créez ou modifiez une application, cliquez sur + Ajouter un secret de ressource>.
- Choisissez une étendue de secret.
- Sélectionnez une clé secrète dans cette étendue à utiliser dans votre application.
- Choisissez un niveau d’autorisation pour l’étendue (et non le secret individuel) :
- Peut lire : Accorde à l’application l’accès en lecture à tous les secrets de l’étendue sélectionnée.
- Peut écrire : Accord à l'application l'autorisation de mettre à jour tout secret dans le périmètre.
- Peut gérer : Accorde à l’application l’autorisation de lire, de mettre à jour et de supprimer n'importe quel secret dans le périmètre.
- (Facultatif) Spécifiez une clé de ressource personnalisée, c’est-à-dire la façon dont vous référencez le secret dans la configuration de votre application. La clé par défaut est
secret.
Note
Ces étapes permettent à l’application d’accéder en toute sécurité à un secret sélectionné à partir de l’étendue en passant sa valeur en tant que variable d’environnement.
Les autorisations de secret s’appliquent au niveau de l’étendue , mais pas au secret individuel. Pour limiter l’accès entre les applications, créez une étendue secrète distincte pour chaque application et stockez uniquement les secrets requis dans cette étendue.
Variables d’environnement
Lorsque vous déployez une application qui utilise des ressources secrètes, Azure Databricks injecte chaque secret en tant que variable d’environnement. Le nom de chaque variable correspond à la clé de ressource que vous avez définie lorsque vous avez ajouté le secret.
Pour accéder au secret à partir de votre application, utilisez cette variable d’environnement. Dans votre fichier de configuration d’application (par exemple app.yaml), définissez une variable qui référence le secret à l’aide du valueFrom champ. Cette configuration garantit que la valeur secrète réelle reste gérée en toute sécurité par Azure Databricks et n’est pas exposée en texte brut.
Si vous utilisez le même secret entre plusieurs entrées de ressources avec des clés de ressource différentes, chacun devient une variable d’environnement distincte lorsqu’elle est référencée dans valueFrom.
Pour plus d’informations, consultez Les variables d’environnement Access à partir de ressources.
Important
Ne stockez jamais de valeurs sensibles directement dans des variables d’environnement ou votre code d’application. Au lieu de cela, passez la clé de ressource à Azure Databricks en tant que variable d’environnement et récupérez la valeur secrète en toute sécurité au moment de l’exécution.
Supprimer une ressource secrète
Lorsque vous supprimez une ressource de secret d’une application, le secret lui-même reste dans l’étendue de secret. Toutefois, l’application perd l’accès au secret, sauf si vous l’ajoutez à nouveau.
Meilleures pratiques
Suivez ces bonnes pratiques lors de la gestion des secrets dans votre application :
- N’exposez pas de valeurs secrètes brutes. Les valeurs secrètes injectées directement en tant que variables d’environnement apparaissent en texte clair dans la page Environnement de l’application. Pour éviter cela, référencez le secret à l’aide du
valueFromchamp dans la configuration de votre application et récupérez la valeur en toute sécurité dans votre code d’application. - Limitez l’accès de l’application aux étendues spécifiques dont elle a besoin. Évitez d’accorder l’accès à toutes les étendues de l’espace de travail.
- Établissez un planning de rotation pour tous les secrets, et effectuez une rotation immédiatement lorsqu'un membre de l'équipe change de rôle ou quitte votre organisation.