Hoja de referencia para la administración de plataformas
El objetivo de este artículo es ofrecer a los administradores de cuentas y áreas de trabajo orientaciones claras y fundamentadas sobre las mejores prácticas recomendadas. Los administradores de cuentas o área de trabajo deberían implementar las siguientes prácticas para ayudar a optimizar los costes, la observabilidad, la gobernanza de datos y la seguridad en su cuenta de Azure Databricks.
Para conocer los procedimientos recomendados de seguridad detallados, consulte este PDF: procedimientos recomendados de seguridad de Azure Databricks y el modelo de amenazas.
| Procedimiento recomendado | Impacto | Docs |
|---|---|---|
| Habilitación del catálogo de Unity | Gobernanza de datos: Unity Catalog proporciona capacidades centralizadas de control de acceso, auditoría, linaje y detección de datos en todas las áreas de trabajo de Azure Databricks. | - Configuración y administración de Unity Catalog |
| Uso de directivas de clúster | Costo: controle los costos con terminación automática (para clústeres de uso completo), tamaños máximos de clúster y restricciones de tipo de instancia. Observabilidad: conjunto custom_tags en la directiva de clúster para aplicar el etiquetado.Seguridad: Restrinja el modo de acceso al clúster para que sólo permita a los usuarios crear clústeres habilitados para el Catálogo de Unity con el fin de reforzar los permisos de datos. |
- Creación y gestión de políticas de clúster - Supervise el uso del clúster con etiquetas |
| Uso de entidades de servicio para conectarse a software de terceros | Seguridad: Una entidad de servicio es un tipo de identidad de Databricks que permite a los servicios de terceros autenticarse directamente en Databricks, no a través de las credenciales de un usuario individual. Si ocurre algo con las credenciales de un usuario individual, el servicio de terceros no se interrumpirá. |
- Creación y gestión de entidades de servicio |
| Configuración de la integración de SCIM | Seguridad: en lugar de agregar usuarios a Databricks manualmente, integre con su proveedor de identidades para automatizar el aprovisionamiento y el desaprovisionamiento de usuarios. Cuando se quita un usuario del proveedor de identidades, también se quitan automáticamente de Databricks. | - Sincronizar usuarios y grupos del proveedor de identidades |
| Administración del control de acceso con grupos de nivel de cuenta | gobernanza de datos: cree grupos de nivel de cuenta para que pueda controlar de forma masiva el acceso a áreas de trabajo, recursos y datos. Esto le ahorra tener que conceder a todos los usuarios acceso a todo o conceder permisos específicos a usuarios individuales. También puede sincronizar grupos desde el proveedor de identidades a grupos de Databricks. |
- Administrar grupos - Control de acceso a los recursos - Grupos de sincronización desde el IdP a Databricks - Guía de gobernanza de datos |
| Configuración del acceso IP para la inclusión en listas blancas de IP | Security: las listas de acceso IP impiden que los usuarios accedan a los recursos de Azure Databricks en redes no seguras. El acceso a servicios en la nube desde redes no seguras puede suponer riesgos de seguridad para las empresas, sobre todo cuando los usuarios pueden tener acceso autorizado a datos confidenciales o personales Asegúrese de configurar listas de acceso IP para las áreas de trabajo y la consola de la cuenta. |
- Crear listas de acceso IP para áreas de trabajo - Crear listas de acceso IP para la consola de la cuenta |
| Utilice Databricks Secrets o un gestor de secretos de proveedor de nube | Seguridad: el uso de secretos de Databricks permite almacenar credenciales de forma segura para orígenes de datos externos. En lugar de introducir las credenciales directamente en un cuaderno, basta con hacer referencia a un secreto para autenticarse en un origen de datos. | - Gestionar los secretos de Databricks |
| Establecer fechas de expiración en tokens de acceso personal (PAT) | Security: Los administradores del área de trabajo pueden gestionar PAT para usuarios, grupos y entidades de servicio. Establecer fechas de expiración para los PAT reduce el riesgo de pérdida de tokens o de tokens de larga duración que podrían conducir a la exfiltración de datos del área de trabajo. | - Administración de tokens de acceso personal |
| Uso de tablas del sistema para supervisar el uso de la cuenta | observabilidad: las tablas del sistema son un almacén analítico hospedado en Databricks de los datos operativos de su cuenta, incluidos los registros de auditoría, el linaje de datos y el uso facturable. Puede usar tablas del sistema para la observabilidad en toda la cuenta. | - Supervisión de la utilización con las tablas del sistema |