{"id":1095,"date":"2025-10-27T06:48:28","date_gmt":"2025-10-27T06:48:28","guid":{"rendered":"http:\/\/localhost\/g\/?p=1095"},"modified":"2026-01-27T14:50:29","modified_gmt":"2026-01-27T14:50:29","slug":"gcp-databricks-and-hashicorp-vault-integration","status":"publish","type":"post","link":"https:\/\/insight42.com\/de\/gcp-databricks-and-hashicorp-vault-integration\/","title":{"rendered":"GCP DataBricks und HashiCorp Vault Integration"},"content":{"rendered":"\n

Warum Databricks auf GCP ein Tool wie HashiCorp Vault ben\u00f6tigt<\/h4>\n\n\n\n

Die moderne Datenlandschaft stellt komplexe Sicherheitsherausforderungen dar, die ausgefeilte L\u00f6sungen f\u00fcr das Geheimnismanagement erfordern. W\u00e4hrend Databricks auf der Google Cloud Platform leistungsstarke Datenverarbeitungsfunktionen bietet, stehen Unternehmen vor erheblichen H\u00fcrden im Bereich des Anmeldeinformationsmanagements, die Tools wie HashiCorp Vault f\u00fcr umfassende Sicherheit erfordern.<\/p>\n\n\n\n

Die Herausforderung des Anmeldeinformationsmanagements<\/h4>\n\n\n\n

Databricks-Umgebungen auf GCP schaffen einen perfekten Sturm f\u00fcr die Komplexit\u00e4t des Geheimnismanagements. Unternehmen verwalten typischerweise Hunderte oder Tausende sensibler Anmeldeinformationen in mehreren Umgebungen \u2013 Entwicklung, Staging und Produktion \u2013, die jeweils Zugriff auf verschiedene externe Dienste ben\u00f6tigen. Diese Verbreitung f\u00fchrt zu einer Geheimnisverstreuung, bei der sensible Daten \u00fcber verschiedene Plattformen verteilt werden, was es schwierig macht, sie zu verfolgen, zu sichern und effektiv zu verwalten.<\/p>\n\n\n\n

Die kollaborative Natur von Databricks versch\u00e4rft diese Herausforderungen. Dateningenieure, Datenwissenschaftler und Analysten teilen h\u00e4ufig Notebooks und Code, wodurch das Risiko einer unbeabsichtigten Offenlegung von Anmeldeinformationen steigt. Ohne angemessene Sicherheitsvorkehrungen k\u00f6nnen sensible Informationen wie API-Schl\u00fcssel, Datenbankpassw\u00f6rter und Dienstkontotoken leicht \u00fcber gemeinsam genutzte Repositories oder kollaborative Arbeitsbereiche durchsickern.<\/p>\n\n\n\n

Sicherheitsl\u00fccken in Standardkonfigurationen<\/h4>\n\n\n\n

J\u00fcngste Sicherheitsforschung hat kritische Schwachstellen in den Konfigurationen der Databricks-Plattform aufgedeckt. Forscher entdeckten, dass Benutzer mit geringen Berechtigungen die Clusterisolation aufheben und Remote-Code auf allen Clustern in einem Workspace ausf\u00fchren k\u00f6nnen. Diese Angriffe k\u00f6nnen zum Diebstahl von Anmeldeinformationen f\u00fchren, einschlie\u00dflich der M\u00f6glichkeit, Administrator-API-Token zu erfassen und Berechtigungen auf Workspace-Administratorebene zu eskalieren.<\/p>\n\n\n\n

Die Standardkonfiguration des Databricks-Dateisystems (DBFS) birgt besondere Risiken, da sie f\u00fcr jeden Benutzer in einem Workspace zug\u00e4nglich ist, wodurch alle gespeicherten Dateien f\u00fcr jeden mit Zugriff sichtbar sind. Dies schafft M\u00f6glichkeiten f\u00fcr b\u00f6swillige Akteure, Cluster-Initialisierungsskripte zu \u00e4ndern und dauerhaften Zugriff auf sensible Anmeldeinformationen zu erlangen.<\/p>\n\n\n\n

Einschr\u00e4nkungen der nativen Databricks-Geheimnisverwaltung<\/h4>\n\n\n\n

W\u00e4hrend Databricks auf Google Cloud die Speicherung von Geheimnissen als Databricks Scoped Secrets<\/a> oder Databricks Secrets Backed by GCP Secret Manager\/Azure Key Vault<\/strong> als native L\u00f6sung anbietet, weist es erhebliche Einschr\u00e4nkungen bei der Integration mit komplexen Databricks-Workflows auf. Der GCP Secret Manager ist eng mit dem GCP-\u00d6kosystem verkn\u00fcpft, was die Implementierung einer konsistenten Geheimnisverwaltung in Multi-Cloud- oder Hybridumgebungen erschwert. Organisationen, die Databricks verwenden, m\u00fcssen h\u00e4ufig verschiedene externe Dienste, Datenbanken und APIs integrieren, die m\u00f6glicherweise nicht Google Cloud-nativ sind. Es ist auch \u00fcber ein \u00f6ffentliches Netzwerk erreichbar. Feingranularer Zugriff ist ebenfalls eine Herausforderung.<\/p>\n\n\n\n

Und warum sollten Sie Azure Key Vault \u00fcberhaupt mit GCP Databricks integrieren wollen, wenn Sie GCP verwenden? \ud83d\ude00<\/p>\n\n\n\n

HashiCorp Vault: Die strategische L\u00f6sung<\/h4>\n\n\n\n

HashiCorp Vault begegnet diesen Herausforderungen durch mehrere Schl\u00fcsselfunktionen, die besonders wertvoll f\u00fcr Databricks auf GCP sind:<\/p>\n\n\n\n

Dynamische Geheimnisgenerierung<\/h4>\n\n\n\n

Die Google Cloud Secrets Engine von Vault generiert tempor\u00e4re, kurzlebige GCP IAM-Anmeldeinformationen, die automatisch ablaufen. Dadurch werden die Sicherheitsrisiken im Zusammenhang mit langlebigen statischen Anmeldeinformationen beseitigt und das Zeitfenster f\u00fcr potenziellen Missbrauch von Anmeldeinformationen erheblich reduziert. F\u00fcr KI-Workloads auf GCP, einschlie\u00dflich solcher, die auf Databricks ausgef\u00fchrt werden, ist dieser dynamische Ansatz entscheidend f\u00fcr die Aufrechterhaltung der Sicherheit bei gleichzeitiger Erm\u00f6glichung der automatisierten Datenverarbeitung.<\/p>\n\n\n\n

Zentralisierte Geheimnisverwaltung<\/h4>\n\n\n\n

Vault bietet eine einheitliche Steuerungsebene f\u00fcr die Verwaltung von Geheimnissen in verschiedenen Umgebungen und Plattformen. Diese Zentralisierung behebt das Problem der unkontrollierten Verbreitung von Geheimnissen, indem sichergestellt wird, dass alle sensiblen Daten an einem einzigen, sicheren Ort mit umfassenden Zugriffskontrollen gespeichert werden. Entwicklungsteams k\u00f6nnen Geheimnisse programmatisch abrufen, ohne sie in Notebooks oder Konfigurationsdateien fest zu codieren.<\/p>\n\n\n\n

Erweiterte Zugriffskontrolle und \u00dcberwachung<\/h4>\n\n\n\n

Vault implementiert fein abgestufte Zugriffsrichtlinien, die basierend auf Rollen, Umgebungen und spezifischen Anwendungsf\u00e4llen angepasst werden k\u00f6nnen. Jeder Zugriff auf ein Geheimnis wird protokolliert und ist \u00fcberpr\u00fcfbar, wodurch die f\u00fcr die Einhaltung von Vorschriften und die Reaktion auf Sicherheitsvorf\u00e4lle notwendige forensische Spur bereitgestellt wird. Dies ist besonders wichtig in Databricks-Umgebungen, in denen Daten-Governance und die Einhaltung gesetzlicher Bestimmungen kritische Anforderungen darstellen<\/p>\n\n\n\n

Unterst\u00fctzung f\u00fcr Workload Identity Federation (optional)<\/h4>\n\n\n\n

Vault unterst\u00fctzt jetzt Workload Identity Federation (WIF) mit Google Cloud und erm\u00f6glicht so eine sichere Authentifizierung ohne die Notwendigkeit langlebiger Dienstkonto-Anmeldeinformationen. Diese Integration minimiert die Ausbreitung von Anmeldeinformationen und stellt eine Vertrauensbeziehung zwischen Vault und GCP-Diensten her, wodurch Sicherheitsbedenken im Zusammenhang mit manuell erstellten Dienstkonten reduziert werden.<\/p>\n\n\n\n

Implementierung<\/h3>\n\n\n\n

Los geht’s! Hier habe ich die Konfiguration in Terraform und der Bash-CLI bereitgestellt. Sie k\u00f6nnen aber auch jede andere Methode verwenden.<\/strong><\/p>\n\n\n\n

Hinweis:<\/strong> Gemeinsam genutzte Databricks-Cluster werden nicht unterst\u00fctzt, nur dedizierte Cluster wie z. B. pers\u00f6nliche Cluster oder Job-Cluster<\/p>\n\n\n\n

Schritt 1:<\/strong> Konfigurationen auf GCP, Erstellen Sie eine SA und erteilen Sie project.viewer- und serviceaccount.admin-Berechtigungen.<\/p>\n\n\n\n

$ export GCP_PROJECT=<Your GCP project>\n\n$ gcloud services enable --project \"${GCP_PROJECT}\" \\\n    cloudresourcemanager.googleapis.com \\\n    iam.googleapis.com\n\n$ gcloud iam service-accounts create sa-vault \\\n    --display-name \"Vault Authenticator SA\" \\\n    --project \"${GCP_PROJECT}\"\n\n$ gcloud projects add-iam-policy-binding \\\n    \"${GCP_PROJECT}\" --member \\\n    \"serviceAccount:sa-vault@${GCP_PROJECT}.iam.gserviceaccount.com\" \\\n    --role \"roles\/viewer\"\n\n$ gcloud projects add-iam-policy-binding \\\n    \"${GCP_PROJECT}\" --member \\\n    \"serviceAccount:sa-vault@${GCP_PROJECT}.iam.gserviceaccount.com\" \\\n    --role \"roles\/iam.serviceAccountKeyAdmin\"\n\n$ gcloud projects add-iam-policy-binding \\\n    \"${GCP_PROJECT}\" --member \\\n    \"serviceAccount:sa-vault@${GCP_PROJECT}.iam.gserviceaccount.com\" \\\n    --role \"roles\/iam.serviceAccountTokenCreator\"\n\n$ gcloud iam service-accounts keys create sa-vault.json \\\n    --iam-account \"sa-vault@${GCP_PROJECT}.iam.gserviceaccount.com\"<\/code><\/pre>\n\n\n\n
Schritt 2:<\/strong>\u00a0Konfigurationen auf Vault, Ich habe Terraform verwendet, aber Sie k\u00f6nnen auch Bash\/CLI verwenden.<\/p>\n\n\n\n
terraform {\n  required_providers {\n    vault = {\n      source = \"hashicorp\/vault\"\n      version = \"~> 5.0.0\"\n    }\n  }\n}\n\nprovider \"vault\" {\n  address = \"Your vault address\"\n\n  # This is the configuration to run it locally with azuread auth - it will\n  # automatically login using a browser\n  # You can use some other auth method for vault as well\n  auth_login_oidc {\n    role  = \"azuread\"\n    mount = \"azuread\"\n  }\n}\n\nvariable \"gcp_sa_admins\" {\n  description = \"List of GCP Sevice accounts for Vault admin role\"\n  type        = list(string)\n  default = [ \"\" ]\n}\n\nvariable \"gcp_sa_contributors\" {\n  description = \"List of GCP Sevice accounts for Vault contributor role\"\n  type        = list(string)\n  default = [ \"\" ]\n}\nvariable \"gcp_databricks_project\" {\n  description = \"List of GCP Sevice accounts for Vault contributor role\"\n  type        = list(string)\n  default = [ \"\" ]\n}\n\n\nresource \"vault_gcp_auth_backend\" \"gcp\" {\n  credentials = sa-vault.json \n  #Using all defaults, but you can customize\n}\n\nresource \"vault_mount\" \"gcp\" {\n  path     = \"gcp\"\n  type     = \"kv\"\n  options  = { version = \"2\" }\n}\n\nresource \"vault_kv_secret_backend_v2\" \"gcp\" {\n  mount                = vault_mount.gcp.path\n  max_versions         = 0\n  delete_version_after = 0\n  cas_required         = false\n}\n\nresource \"vault_kv_secret_v2\" \"example_secret\" {\n  mount = vault_mount.gcp.path\n  name  = \"common\/example\"\n  data_json = jsonencode({\n    \"example_secret\" = \"some-value\"\n  })\n}\n\nresource \"vault_policy\" \"admin\" {\n  name   = \"admin\"\n  policy = <<-EOF\n    path \"*\" {\n      capabilities = [\"create\", \"read\", \"update\", \"delete\", \"list\", \"sudo\"]\n    }\n  EOF\n}\n\nresource \"vault_gcp_auth_backend_role\" \"gce\" {\n  role                   = \"gcp-vault-admin\"\n  type                   = \"iam\"\n  backend                = vault_gcp_auth_backend.gcp.path\n  bound_service_accounts = var.gcp_sa_admins\n  token_policies         = [vault_policy.admin.name]\n  max_jwt_exp            = \"30m\"\n}\n\nresource \"vault_policy\" \"vault_contributors\" {\n  for_each = var.use_cases\n  name   = \"gcp\/policies\/gcp\/databricks\/contributors\"\n  policy = <<EOF\n    path \"gcp\/data\/databricks\/*\" {\n      capabilities = [\"create\", \"read\", \"update\", \"delete\", \"list\"]\n    }\n\n    path \"gcp\/metadata\/databricks\/*\" {\n      capabilities = [\"list\"]\n    }\n\n    path \"gcp\/metadata\/\" {\n      capabilities = [\"list\"]\n    }    \n    EOF\n}\n\n\nresource \"vault_gcp_auth_backend_role\" \"gce\" {\n  role                   = \"vault-databrick-contributors\"\n  type                   = \"gce\"\n  bound_projects         = var.gcp_databricks_project\n  backend                = vault_auth_backend.gcp.path\n  bound_service_accounts = var.gcp_sa_contributors\n  token_policies         = [vault_policy.vault_contributors.name]\n} <\/code><\/pre>\n\n\n\n
Schritt 3:<\/strong> Konfiguration auf dem Databricks-Cluster, Richten Sie das Google-Dienstkonto auf dem Databricks-Cluster ein.<\/p>\n\n\n\n
    \n
  • \u00dcber die Benutzeroberfl\u00e4che<\/strong>\u00a0: Navigieren Sie beim Erstellen des Clusters zu Compute -> Neuer Compute -> Erweiterte Einstellungen -> Google-Dienstkonto -> <Geben Sie Ihr GCP-Dienstkonto ein><\/li>\n<\/ul>\n\n\n