Stručná nápověda pro správu platforem
Cílem tohoto článku je poskytnout jasné a názorné pokyny pro správce účtů a pracovních prostorů ohledně doporučených osvědčených postupů. Následující postupy by měly implementovat správci účtů nebo pracovních prostorů, které pomáhají optimalizovat náklady, pozorovatelnost, zásady správného řízení dat a zabezpečení ve svém účtu Azure Databricks.
Podrobné osvědčené postupy zabezpečení najdete v tomto SOUBORU PDF: Osvědčené postupy zabezpečení a model hrozeb v Azure Databricks.
| Osvědčený postup | Dopad | Dokumenty |
|---|---|---|
| Povolení katalogu Unity | Zásady správného řízení dat: Katalog Unity poskytuje centralizované řízení přístupu, auditování, rodokmen a možnosti zjišťování dat v pracovních prostorech Azure Databricks. | - Nastavení a správa katalogu Unity |
| Přidejte značky použití | Sledovatelnost: Mít jednoznačné přiřazení využití na relevantní kategorie. Přiřaďte a vynucujte značky pro organizační jednotky, konkrétní projekty a všechny ostatní uživatele nebo skupiny. | - Monitorování využití v konzole účtu |
| Použití zásad clusteru |
Náklady: Řízení nákladů pomocí automatického ukončení (pro clustery pro všechny účely), maximální velikosti clusterů a omezení typů instancí Pozorovatelnost: Nastavte custom_tags v zásadách clusteru, aby se vynucoval označování.Zabezpečení: Omezte režim přístupu ke clusteru tak, aby uživatelé mohli vytvářet clustery s podporou katalogu Unity, aby vynucovaly oprávnění k datům. |
-
Vytvoření a správa zásad clusteru - Monitorování využití clusteru pomocí značek |
| Připojení k softwaru třetích stran pomocí instančních objektů |
Zabezpečení: Instanční objekt je typ identity Databricks, který umožňuje externím službám ověřovat se přímo v Databricks, ne prostřednictvím přihlašovacích údajů jednotlivých uživatelů. Pokud se něco stane s přihlašovacími údaji jednotlivých uživatelů, služba třetí strany se nepřeruší. |
- Vytváření a správa instančních objektů |
| Nastavení integrace SCIM | Zabezpečení: Místo ručního přidávání uživatelů do Databricks se integrujte s vaším zprostředkovatelem identity, abyste automatizovali zřizování a rušení zřizování uživatelů. Když se uživatel odebere ze zprostředkovatele identity, automaticky se odebere i z Databricks. | - Synchronizace uživatelů a skupin od zprostředkovatele identity |
| Správa řízení přístupu pomocí skupin na úrovni účtu |
Zásady správného řízení dat: Vytvořte skupiny na úrovni účtu, abyste mohli hromadně řídit přístup k pracovním prostorům, prostředkům a datům. To vám ušetří možnost udělit všem uživatelům přístup ke všemu nebo udělit jednotlivým uživatelům specifická oprávnění. Skupiny můžete synchronizovat také od zprostředkovatele identity do skupin Databricks. |
-
Správa skupin - Řízení přístupu k prostředkům - Synchronizace skupin z zprostředkovatele identity do Databricks - Průvodce zásadami správného řízení dat |
| Nastavení přístupu IP pro přidávání IP adres na seznam povolených |
Zabezpečení: Seznamy přístupu IP brání uživatelům v přístupu k prostředkům Azure Databricks v nezabezpečených sítích. Přístup ke cloudové službě z nezabezpečené sítě může představovat bezpečnostní rizika pro podnik, zejména v případě, že uživatel může mít autorizovaný přístup k citlivým nebo osobním údajům. Nezapomeňte nastavit přístupové seznamy IP adres pro konzolu a pracovní prostory účtu. |
-
Vytvoření přístupových seznamů IP adres pro pracovní prostory - Vytvoření přístupových seznamů IP adres pro konzolu účtu |
| Použití tajných kódů Databricks nebo správce tajných kódů poskytovatele cloudu | Zabezpečení: Pomocí tajných kódů Databricks můžete bezpečně ukládat přihlašovací údaje pro externí zdroje dat. Místo zadávání přihlašovacích údajů přímo do poznámkového bloku můžete jednoduše odkazovat na tajný kód pro ověření ve zdroji dat. | - Správa tajných kódů Databricks |
| Nastavení dat vypršení platnosti osobních přístupových tokenů (PAT) | Zabezpečení: Správci pracovních prostorů můžou spravovat paty pro uživatele, skupiny a instanční objekty. Nastavení dat vypršení platnosti pro pat snižuje riziko ztracených tokenů nebo dlouhodobých tokenů, které by mohly vést k exfiltraci dat z pracovního prostoru. | - Správa osobních přístupových tokenů (PAT) |
| Použijte upozornění na rozpočet k monitorování využití | Monitorování: Monitorujte využití na základě rozpočtů důležitých pro vaši organizaci. Mezi příklady rozpočtu patří: projekt, migrace, BU a čtvrtletní nebo roční rozpočty. | - Používejte rozpočty ke sledování útraty účtu |
| Použití systémových tabulek k monitorování využití účtu | Pozorovatelnost: Systémové tabulky jsou analytické úložiště provozních dat vašeho účtu hostované službou Databricks, včetně protokolů auditu, rodokmenu dat a fakturovatelného využití. Systémové tabulky můžete použít k pozorovatelnosti v rámci vašeho účtu. | - Monitorování využití pomocí systémových tabulek |