はじめに
Azure Databricks で Azure Key Vault Backed Scope を使うときに Key Vault のアクセスポリシーをみると Azure Databricks となっていました。
これを見る限り、 Azure Databricks はすべて許可しているように見えます。
実際、個別の Azure Databricks ワークスペースを指定することはできないようで、
例えば dbw-abc みたいな名前の Azure Databricks ワークスペースのみにアクセスポリシーを付与することはできません。
だとすると、 アクセスポリシーに Azure Databricks があれば、誰でも Azure Key Vault Backed Scope を設定できてしまうのか気になりました。
結論:Key Vault の権限があれば、誰でも Azure Key Vault Backed Scope を設定できる
Azure Key Vault と Azure Databricks の両方にアクセスできる人に限って Azure Key Vault Backed Scope の設定ができるようです。
Azure Key Vault にアクセスできない人は Azure Databricks からスコープ設定しようとしても、エラーになります。
ちなみに、 Azure Key Vault Backed Scope をすでに設定済みの場合は、
Azure Key Vault にアクセスできない人でも dbutils.secrets.get() コマンドでシークレットを利用できるようになります
Azure Key Vault の権限を持っている |
Azure Databricks にログインできる |
Azure Key Vault Backed Scope を設定できるか |
|---|---|---|
| YES | YES | YES |
| NO | YES | NO |