搜索快捷键 cmd + k | ctrl + k
- 安装
- 文档
- 入门
- 连接
- 数据导入与导出
- 湖仓格式
- 客户端 API
- 概览
- 第三方客户端
- ADBC
- C
- C++
- CLI
- Dart
- Go
- Java (JDBC)
- Julia
- Node.js (已弃用)
- Node.js (Neo)
- ODBC
- PHP
- Python
- R
- Rust
- Swift
- Wasm
- SQL
- 介绍
- 语句
- 概览
- ANALYZE
- ALTER TABLE
- ALTER VIEW
- ATTACH 和 DETACH
- CALL
- CHECKPOINT
- COMMENT ON
- COPY
- CREATE INDEX
- CREATE MACRO
- CREATE SCHEMA
- CREATE SECRET
- CREATE SEQUENCE
- CREATE TABLE
- CREATE VIEW
- CREATE TYPE
- DELETE
- DESCRIBE
- DROP
- EXPORT 和 IMPORT DATABASE
- INSERT
- LOAD / INSTALL
- MERGE INTO
- PIVOT
- 性能分析
- SELECT
- SET / RESET
- SET VARIABLE
- SHOW 与 SHOW DATABASES
- SUMMARIZE
- 事务管理
- UNPIVOT
- UPDATE
- USE
- VACUUM
- 查询语法
- SELECT
- FROM 和 JOIN
- WHERE
- GROUP BY
- GROUPING SETS
- HAVING
- ORDER BY
- LIMIT 和 OFFSET
- SAMPLE
- 展开嵌套
- WITH
- WINDOW
- QUALIFY
- VALUES
- FILTER
- 集合操作
- 预处理语句
- 数据类型
- 表达式
- 函数
- 概览
- 聚合函数
- 数组函数
- 位字符串函数
- Blob 函数
- 日期格式化函数
- 日期函数
- 日期部分函数
- 枚举函数
- 间隔函数
- Lambda 函数
- 列表函数
- 映射函数
- 嵌套函数
- 数值函数
- 模式匹配
- 正则表达式
- 结构体函数
- 文本函数
- 时间函数
- 时间戳函数
- 带时区时间戳函数
- 联合函数
- 实用函数
- 窗口函数
- 约束
- 索引
- 元查询
- DuckDB 的 SQL 方言
- 示例
- 配置
- 扩展
- 核心扩展
- 概览
- 自动补全
- Avro
- AWS
- Azure
- Delta
- DuckLake
- 编码
- Excel
- 全文搜索
- httpfs (HTTP 和 S3)
- Iceberg
- ICU
- inet
- jemalloc
- Lance
- MySQL
- PostgreSQL
- 空间
- SQLite
- TPC-DS
- TPC-H
- UI
- Unity Catalog
- Vortex
- VSS
- 指南
- 概览
- 数据查看器
- 数据库集成
- 文件格式
- 概览
- CSV 导入
- CSV 导出
- 直接读取文件
- Excel 导入
- Excel 导出
- JSON 导入
- JSON 导出
- Parquet 导入
- Parquet 导出
- 查询 Parquet 文件
- 使用 file: 协议访问文件
- 网络和云存储
- 概览
- HTTP Parquet 导入
- S3 Parquet 导入
- S3 Parquet 导出
- S3 Iceberg 导入
- S3 Express One
- GCS 导入
- Cloudflare R2 导入
- 通过 HTTPS / S3 使用 DuckDB
- Fastly 对象存储导入
- 元查询
- ODBC
- 性能
- Python
- 安装
- 执行 SQL
- Jupyter Notebooks
- marimo Notebooks
- Pandas 上的 SQL
- 从 Pandas 导入
- 导出到 Pandas
- 从 Numpy 导入
- 导出到 Numpy
- Arrow 上的 SQL
- 从 Arrow 导入
- 导出到 Arrow
- Pandas 上的关系型 API
- 多个 Python 线程
- 与 Ibis 集成
- 与 Polars 集成
- 使用 fsspec 文件系统
- SQL 编辑器
- SQL 功能
- 代码片段
- 故障排除
- 术语表
- 离线浏览
- 操作手册
- 概览
- DuckDB 的占用空间
- 安装 DuckDB
- 日志
- 保护 DuckDB 安全
- 非确定性行为
- 限制
- DuckDB Docker 容器
- 开发
- 内部结构
- 站点地图
- 在线演示
文档 / 配置
秘密管理器
Secrets manager(密钥管理器)为所有使用密钥的后端提供了一个统一的用户界面。密钥可以设定作用域,因此不同的存储前缀可以使用不同的密钥,例如,这允许在单个查询中连接来自不同组织的数据。密钥也可以持久化,这样就不需要在每次启动 DuckDB 时都重新指定它们。
警告:持久化密钥以未加密的二进制格式存储在磁盘上。
密钥类型
密钥是有类型的,其类型标识了它们所对应的服务。大多数密钥并未包含在 DuckDB 的默认配置中,而是由扩展程序进行注册。目前支持以下密钥类型:
| 密钥类型 | 服务 / 协议 | 扩展 |
|---|---|---|
azure |
Azure Blob 存储 | azure |
ducklake |
DuckLake | ducklake |
gcs |
Google Cloud Storage | httpfs |
http |
HTTP 和 HTTPS | httpfs |
huggingface |
Hugging Face | httpfs |
iceberg |
Iceberg REST Catalog | httpfs, iceberg |
mysql |
MySQL | mysql |
postgres |
PostgreSQL | postgres |
r2 |
Cloudflare R2 | httpfs |
s3 |
AWS S3 | httpfs |
对于每种类型,都有一个或多个“密钥提供程序”(secret providers),用于指定密钥的创建方式。密钥还可以有一个可选的作用域,即密钥所适用的文件路径前缀。当为某个路径获取密钥时,系统会将密钥作用域与该路径进行比较,并返回与该路径匹配的密钥。如果存在多个匹配的密钥,则选择最长前缀的那个。
创建密钥
可以使用 CREATE SECRET SQL 语句来创建密钥。密钥可以是临时的或持久化的。默认使用临时密钥——它们存储在内存中,生命周期与 DuckDB 实例相同,这与之前的设置方式类似。持久化密钥以未加密的二进制格式存储在 ~/.duckdb/stored_secrets 目录中。当 DuckDB 启动时,会自动从该目录读取并加载持久化密钥。
密钥提供程序
要创建密钥,需要使用一个密钥提供程序。密钥提供程序是生成密钥的机制。为了说明这一点,对于 S3、GCS、R2 和 AZURE 密钥类型,DuckDB 目前支持两种提供程序:CONFIG 和 credential_chain。CONFIG 提供程序要求用户将所有配置信息传入 CREATE SECRET 语句,而 credential_chain 提供程序会自动尝试获取凭据。如果不指定密钥提供程序,则默认使用 CONFIG。有关使用不同提供程序创建密钥的更多详细信息,请查看 httpfs 和 azure 的相关页面。
临时密钥
要创建一个用于访问 S3 的临时无作用域密钥,现在可以使用以下命令:
CREATE SECRET my_secret (
TYPE s3,
KEY_ID 'my_secret_key',
SECRET 'my_secret_value',
REGION 'my_region'
);
请注意,这里隐含使用了默认的 CONFIG 密钥提供程序。
持久化密钥
为了在不同的 DuckDB 数据库实例之间持久化密钥,现在可以使用 CREATE PERSISTENT SECRET 命令,例如:
CREATE PERSISTENT SECRET my_persistent_secret (
TYPE s3,
KEY_ID 'my_secret_key',
SECRET 'my_secret_value'
);
默认情况下,这将把密钥(未加密)写入 ~/.duckdb/stored_secrets 目录。要更改密钥目录,请执行:
SET secret_directory = 'path/to/my_secrets_dir';
请注意,设置 home_directory 配置选项的值对密钥的存储位置没有影响。
删除密钥
可以使用 DROP SECRET 语句删除密钥,例如:
DROP PERSISTENT SECRET my_persistent_secret;
为同一服务类型创建多个密钥
如果某种服务类型存在两个密钥,则可以使用作用域来决定使用哪一个。例如:
CREATE SECRET secret1 (
TYPE s3,
KEY_ID 'my_secret_key1',
SECRET 'my_secret_value1',
SCOPE 's3://my-bucket'
);
CREATE SECRET secret2 (
TYPE s3,
KEY_ID 'my_secret_key2',
SECRET 'my_secret_value2',
SCOPE 's3://my-other-bucket'
);
现在,如果用户查询 s3://⟨my-other-bucket⟩/something,系统会自动为该请求选择 secret2。要查看当前正在使用的密钥,可以使用 which_secret 标量函数,它接受路径和密钥类型作为参数:
FROM which_secret('s3://my-other-bucket/file.parquet', 's3');
列出密钥
可以使用内置的表生成函数来列出密钥,例如使用 duckdb_secrets() 表函数:
FROM duckdb_secrets();
敏感信息将被脱敏处理。