Scheda di riferimento rapido per l'amministrazione della piattaforma
Questo articolo mira a fornire indicazioni chiare e di opinione per gli amministratori dell'account e dell'area di lavoro sulle procedure consigliate. Le procedure seguenti devono essere implementate dagli amministratori dell'account o dell'area di lavoro per ottimizzare i costi, l'osservabilità, la governance dei dati e la sicurezza nell'account Azure Databricks.
Per informazioni dettagliate sulle procedure consigliate per la sicurezza, vedere questo PDF: Procedure consigliate per la sicurezza di Azure Databricks e modello di minaccia.
Procedura consigliata | Impatto | Documenti |
---|---|---|
Abilitare il catalogo Unity | Data governance: Unity Catalog fornisce controllo accessi centralizzato, verifica, lineage e capacità di individuazione dei dati nelle aree di lavoro di Azure Databricks. | |
Applicare tag di utilizzo | Observability: Avere una mappatura discreta dell'utilizzo su categorie rilevanti. Assegnare e applicare tag per le business unit dell'organizzazione, progetti specifici e qualsiasi altro utente o gruppo. | |
Usare politiche di cluster |
Costo: controllare i costi con la terminazione automatica (per i cluster per tutti gli scopi), le dimensioni massime del cluster e le restrizioni del tipo di istanza. Osservabilità: imposta custom_tags nei criteri del cluster per obbligare l'uso dei tag.Sicurezza: limitare la modalità di accesso al cluster per consentire agli utenti di creare cluster abilitati per Unity Catalog per applicare le autorizzazioni per i dati. |
|
Usare i principali di servizio per connettersi al software di terze parti |
Sicurezza: un principal di servizio è un tipo di identità di Databricks che consente ai servizi di terze parti di autenticarsi direttamente su Databricks, non tramite le credenziali di un singolo utente. Se si verifica qualcosa alle credenziali di un singolo utente, il servizio di terze parti non verrà interrotto. |
|
Configurare la gestione automatica delle identità | Security: invece di aggiungere manualmente utenti e gruppi ad Azure Databricks, integrare direttamente con Microsoft Entra ID per automatizzare il provisioning e il deprovisioning degli utenti. Quando un utente viene rimosso dall'ID Microsoft Entra, viene rimosso automaticamente anche da Databricks. | |
Gestire il controllo di accesso con i gruppi a livello di account |
Governance dei dati: creare gruppi a livello di account in modo da poter controllare in blocco l'accesso alle aree di lavoro, alle risorse e ai dati. In questo modo è possibile evitare di dover concedere a tutti gli utenti l'accesso a tutti gli elementi o concedere autorizzazioni specifiche ai singoli utenti. È anche possibile sincronizzare i gruppi da Microsoft Entra ID ai gruppi di Databricks. |
|
Configurare l'accesso IP per l'inserimento nella whitelist degli IP |
Sicurezza: gli elenchi di accesso IP impediscono agli utenti di accedere alle risorse di Azure Databricks in reti non protette. L'accesso a un servizio cloud da una rete non protetta può comportare rischi per la sicurezza per un'azienda, soprattutto quando l'utente può avere accesso autorizzato a dati sensibili o personali Assicurarsi di configurare gli elenchi di accesso IP per la console e le aree di lavoro dell'account. |
|
Usare i segreti di Databricks o un gestore segreti del provider di servizi cloud | Sicurezza: l'uso dei segreti di Databricks consente di archiviare in modo sicuro le credenziali per le origini dati esterne. Anziché immettere le credenziali direttamente in un notebook, è sufficiente fare riferimento a un segreto per l'autenticazione a un'origine dati. | |
Impostare le date di scadenza per i token di accesso personale (PAT) | Sicurezza: gli amministratori dell'area di lavoro possono gestire PAT per utenti, gruppi ed entità servizio. L'impostazione delle date di scadenza per i token PAT riduce il rischio di perdita di token o token di lunga durata che potrebbero causare l'esfiltrazione dei dati dall'area di lavoro. | |
Usare gli avvisi relativi al budget per monitorare l'utilizzo | Observability: monitorare l'utilizzo in base ai budget importanti per l'organizzazione. Gli esempi di budget includono: progetto, migrazione, BU e budget trimestrali o annuali. | |
Usare le tabelle di sistema per monitorare l'utilizzo degli account | Osservabilità: le tabelle di sistema sono un archivio analitico ospitato in Databricks dei dati operativi dell'account, inclusi i log di controllo, la derivazione dei dati e l'utilizzo fatturabile. È possibile usare tabelle di sistema per l'osservabilità nel tuo account. |