Kurzübersicht über die Plattformverwaltung
Dieser Artikel bietet klare und eindeutige Anleitungen für Konto- und Arbeitsbereichsadministrator*innen zu empfohlenen Best Practices. Die folgenden Best Practices sollten von Konto- oder Arbeitsbereichsadministrator*innen angewendet werden, um Kosten, Einblicke, Datengovernance und Sicherheit in ihrem Azure Databricks-Konto zu optimieren.
Detaillierte Best Practices zur Sicherheit finden Sie in der folgenden PDF-Datei: Azure Databricks Security Best Practices and Threat Model (Best Practices und Bedrohungsmodell für Azure Databricks).
| Bewährte Vorgehensweise | Auswirkung | Docs |
|---|---|---|
| Aktivieren von Unity Catalog | Datengovernance: Unity Catalog bietet zentralisierte Zugriffssteuerungs-, Überwachungs-, Herkunfts- und Datenermittlungsfunktionen in Azure Databricks-Arbeitsbereichen. | - Einrichten und Verwalten des Unity Catalog |
| Anwenden von Verwendungstags | Einblick: Weisen Sie relevanten Kategorien eine diskrete Zuordnung der Nutzung zu. Zuweisen und Erzwingen von Tags für die Geschäftseinheiten Ihrer Organisation, bestimmte Projekte und alle anderen Benutzer und Benutzerinnen oder Gruppen. | - Nutzungsdashboards |
| Verwenden von Clusterrichtlinien | Kosten: Steuern Sie die Kosten mit automatischer Beendigung (für Allzweckcluster), maximalen Clustergrößen und Einschränkungen in Bezug auf die Instanztypen. Einblicke: Legen Sie custom_tags in Ihrer Clusterrichtlinie fest, um das Tagging zu erzwingen.Sicherheit: Schränken Sie den Clusterzugriffsmodus ein, sodass Benutzer*innen nur für Unity Catalog berechtigte Benutzer*innen erstellen können, um Datenberechtigungen zu erzwingen. |
- Erstellen und Verwalten von Clusterrichtlinien - Überwachen der Clusterverwendung mit Tags |
| Verwenden von Dienstprinzipalen zum Herstellen von Verbindungen mit Drittanbietersoftware | Sicherheit: Ein Dienstprinzipal ist ein Databricks-Identitätstyp, der es Drittanbieterdiensten ermöglicht, sich direkt bei Databricks zu authentifizieren, nicht über die Anmeldeinformationen einzelner Benutzer*innen. Wenn bei den Anmeldeinformationen einzelner Benutzer*innen ein Problem auftritt, wird der Drittanbieterdienst nicht unterbrochen. |
- Erstellen und Verwalten von Dienstprinzipalen |
| Einrichten der automatischen Identitätsverwaltung | Sicherheits-: Anstatt Benutzer und Gruppen manuell zu Azure Databricks hinzuzufügen, integrieren Sie sie direkt mit Microsoft Entra ID, um die Benutzerbereitstellung und -deaktivierung zu automatisieren. Wenn ein Benutzer aus der Microsoft Entra-ID entfernt wird, werden sie automatisch auch aus Databricks entfernt. | - Benutzer und Gruppen automatisch synchronisieren |
| Verwalten der Zugriffssteuerung mit Gruppen auf Kontoebene | Datengovernance: Erstellen Sie Gruppen auf Kontoebene, sodass Sie den Zugriff auf Arbeitsbereiche, Ressourcen und Daten per Massenvorgang steuern können. Damit müssen Sie weder allen Benutzer*innen Zugriff auf alles gewähren noch einzelnen Benutzer*innen bestimmte Berechtigungen erteilen. Sie können Gruppen auch von Microsoft Entra ID mit Databricks-Gruppen synchronisieren. |
- Gruppen verwalten - Steuern des Zugriffs auf Ressourcen - Synchronisieren von Gruppen von MS Entra ID mit Databricks - Leitfaden zur Datengovernance |
| Einrichten des IP-Zugriffs zum Erstellen von IP-Positivlisten | Sicherheit: IP-Zugriffslisten verhindern, dass Benutzer*innen auf Azure Databricks-Ressourcen in unsicheren Netzwerken zugreifen. Der Zugriff auf einen Clouddienst über ein ungesichertes Netzwerk kann für ein Unternehmen insbesondere dann Sicherheitsrisiken mit sich bringen, wenn Benutzer*innen autorisierten Zugriff auf vertrauliche oder personenbezogene Daten haben. Richten Sie unbedingt IP-Zugriffslisten für Ihre Kontokonsole und -arbeitsbereiche ein. |
- Erstellen von IP-Zugriffslisten für Arbeitsbereiche - Erstellen von IP-Zugriffslisten für die Kontokonsole |
| Verwenden von Databricks Secrets oder eines Managers für Cloudanbietergeheimnisse | Sicherheit: Mithilfe von Databricks-Geheimnissen können Sie Anmeldeinformationen für externe Datenquellen sicher speichern. Anstatt Anmeldeinformationen direkt in ein Notebook einzugeben, können Sie einfach auf ein Geheimnis verweisen, um sich bei einer Datenquelle zu authentifizieren. | - Verwalten von Databricks-Geheimnissen |
| Festlegen von Ablaufdaten für persönliche Zugriffstoken (PATs) | Sicherheit: Arbeitsbereichsadministrator*innen können persönliche Zugriffstoken (Personal Access Tokens, PATs) für Benutzer*innen, Gruppen und Dienstprinzipale verwalten. Das Festlegen von Ablaufdaten für PATs reduziert das Risiko verlorener Token oder langlebiger Token, die zu Datenexfiltration aus dem Arbeitsbereich führen könnten. | - Verwalten persönlicher Zugriffstoken |
| Verwenden von Budgetwarnungen zum Überwachen der Nutzung | Einblick: Überwachen Sie die Nutzung anhand von Budgets, die für Ihre Organisation wichtig sind. Budgetbeispiele sind: Projekt, Migration, BU und vierteljährliche oder jährliche Budgets. | - Erstellen und Überwachen von Budgets |
| Verwenden von Systemtabellen zum Überwachen der Kontonutzung | Einblicke: Systemtabellen sind von Databricks gehostete Analysespeicher der betrieblichen Daten Ihres Kontos, einschließlich Überwachungsprotokollen, Datenherkunft und abrechnungsfähiger Nutzung. Sie können Systemtabellen für Einblicke über Ihr gesamtes Konto hinweg verwenden. | - Überwachen der Nutzung mithilfe von Systemtabellen |