Aide-mémoire sur l’administration de la plateforme
Cet article vise à fournir des instructions claires et avisées pour les administrateurs de compte et d’espace de travail sur les meilleures pratiques recommandées. Les pratiques suivantes doivent être implémentées par les administrateurs de compte ou d’espace de travail pour optimiser les coûts, l’observabilité, la gouvernance des données et la sécurité dans leur compte Azure Databricks.
Pour connaître les meilleures pratiques de sécurité détaillées, consultez ce PDF : Meilleures pratiques de sécurité Azure Databricks et modèle de menace.
| Bonnes pratiques | Impact | Documents |
|---|---|---|
| Activer Unity Catalog | Gouvernance des données : le catalogue Unity fournit des fonctionnalités centralisées de contrôle d’accès, d’audit, de traçabilité et de découverte des données dans les espaces de travail Azure Databricks. | - Configurer et gérer Unity Catalog |
| Utiliser des stratégies de cluster | Coût : contrôlez les coûts avec l’arrêt automatique (pour les clusters à usage unique), les tailles de cluster maximales et les restrictions de type d’instance. Observabilité : définissez custom_tags dans votre stratégie de cluster pour appliquer l’étiquetage.Sécurité : restreignez le mode d’accès au cluster pour autoriser uniquement les utilisateurs à créer des clusters compatibles avec le catalogue Unity pour appliquer des autorisations de données. |
- Créer et gérer des stratégies de cluster - Surveiller l’utilisation du cluster avec des balises |
| Utiliser des principaux de service pour se connecter à des logiciels tiers | Sécurité : un principal de service est un type d’identité Databricks qui permet aux services tiers de s’authentifier directement auprès de Databricks, et non via les informations d’identification d’un utilisateur individuel. Si quelque chose arrive aux informations d’identification d’un utilisateur individuel, le service tiers n’est pas interrompu. |
- Créer et gérer des principaux de service |
| Configurer l’intégration SCIM | Sécurité : plutôt que d’ajouter manuellement des utilisateurs à Databricks, intégrez votre fournisseur d’identité pour automatiser l’approvisionnement et le déprovisionnement des utilisateurs. Lorsqu’un utilisateur est supprimé du fournisseur d’identité, il est automatiquement supprimé de Databricks. | - Synchroniser des utilisateurs et des groupes à partir de votre fournisseur d’identité |
| Gérer le contrôle d’accès avec des groupes au niveau du compte | Gouvernance des données : créez des groupes au niveau du compte pour pouvoir contrôler en bloc l’accès aux espaces de travail, aux ressources et aux données. Grâce à cela, vous n’avez pas à accorder un accès total aux utilisateurs ou accorder des autorisations spécifiques à des utilisateurs individuels. Vous pouvez également synchroniser des groupes de votre fournisseur d’identité vers des groupes Databricks. |
- Gestion des groupes - Contrôler l’accès aux ressources - Synchroniser des groupes de votre fournisseur d’identité vers Databricks - Guide sur la gouvernance des données |
| Configurer l’accès IP pour la mise en liste verte d’adresses IP | Sécurité : les listes d’accès IP empêchent les utilisateurs d’accéder aux ressources Azure Databricks dans des réseaux non sécurisés. L’accès à un service cloud à partir d’un réseau non sécurisé pose des risques de sécurité à une entreprise, en particulier lorsque l’utilisateur peut avoir un accès autorisé à des données sensibles ou personnelles Veillez à configurer des listes d’accès IP pour votre console de compte et vos espaces de travail. |
- Créer des listes d’accès IP pour les espaces de travail - Créer des listes d’accès IP pour la console de compte |
| Utiliser Databricks Secrets ou un gestionnaire de secrets de fournisseur de cloud | Sécurité : l’utilisation des secrets Databricks vous permet de stocker en toute sécurité les informations d’identification pour les sources de données externes. Au lieu d’entrer des informations d’identification directement dans un notebook, vous pouvez simplement référencer un secret pour vous authentifier auprès d’une source de données. | - Gérer les secrets Databricks |
| Définir des dates d’expiration sur des jetons d’accès personnels (PAT) | Sécurité : les administrateurs d’espace de travail peuvent gérer les PAT pour les utilisateurs, les groupes et les principaux de service. La définition de dates d’expiration pour les PAT réduit le risque de perte de jetons ou de jetons durables pouvant entraîner une exfiltration de données à partir de l’espace de travail. | - Gérer les jetons d’accès personnels |
| Utiliser des tables système pour surveiller l’utilisation du compte | Observabilité : les tables système sont un magasin analytique hébergé par Databricks des données opérationnelles de votre compte, notamment les journaux d’audit, la traçabilité des données et l’utilisation facturable. Vous pouvez utiliser des tables système pour l’observabilité sur votre compte. | - Surveiller l’utilisation avec des tables système |