Ściągawka administracji platformą
Ten artykuł ma na celu przedstawienie jasnych i opinii wskazówek dla administratorów kont i obszarów roboczych dotyczących zalecanych najlepszych rozwiązań. Poniższe praktyki powinny być wdrażane przez administratorów kont lub obszarów roboczych, aby pomóc w optymalizacji kosztów, monitorowania, zarządzania danymi i zabezpieczeń na koncie usługi Azure Databricks.
Aby uzyskać szczegółowe rozwiązania w zakresie zabezpieczeń, zobacz ten dokument PDF: Azure Databricks Security Best Practices and Threat Model (Najlepsze rozwiązania i model zagrożeń w usłudze Azure Databricks).
| Najlepsze rozwiązanie | Wpływ | Dokumenty |
|---|---|---|
| Włącz Unity Catalog | Zarządzanie danymi: Unity Catalog zapewnia scentralizowaną kontrolę dostępu, audyt, śledzenie pochodzenia danych oraz odnajdywanie danych w obszarach roboczych usługi Azure Databricks. | - Konfigurowanie i zarządzanie katalogiem Unity |
| Stosowanie tagów użycia | Obserwowalność: mieć dyskretne mapowanie użycia na odpowiednie kategorie. Przypisz i wymuś tagi dla jednostek biznesowych organizacji, określonych projektów oraz innych użytkowników i grup. | - Panele kontrolne użycia |
| Korzystanie z zasad klastra |
Koszt: kontrolowanie kosztów za pomocą automatycznego kończenia (w przypadku klastrów wszystkich celów), maksymalnego rozmiaru klastra i ograniczeń typu wystąpienia. Obserwowalność: Ustaw custom_tags w polityce klastra, aby wymusić tagowanie.Zabezpieczenia: Ogranicz dostęp do klastra, aby umożliwić użytkownikom tworzenie klastrów z obsługą Unity Catalog w celu wymuszania uprawnień do danych. |
-
Tworzenie zasad klastra i zarządzanie nimi - Monitorowanie użycia klastra przy użyciu tagów |
| Nawiązywanie połączenia z oprogramowaniem innych firm przy użyciu jednostek usługi |
Security: Główna tożsamość usługi to typ tożsamości w Databricks, który pozwala usługom zewnętrznym uwierzytelniać się bezpośrednio w Databricks, nie poprzez poświadczenia indywidualnego użytkownika. Jeśli coś się stanie z poświadczeniami poszczególnych użytkowników, usługa innej firmy nie zostanie przerwana. |
- Tworzenie jednostek usługi i zarządzanie nimi |
| Konfigurowanie automatycznego zarządzania tożsamościami | Security: Zamiast ręcznego dodawania użytkowników i grup do usługi Azure Databricks, zintegrować się bezpośrednio z Microsoft Entra ID w celu zautomatyzowania aprowizacji i deprowizacji użytkowników. Gdy użytkownik zostanie usunięty z identyfikatora Entra firmy Microsoft, zostanie on również automatycznie usunięty z usługi Databricks. | - Synchronizuj użytkowników i grupy automatycznie |
| Zarządzanie kontrolą dostępu za pomocą grup na poziomie konta |
Nadzór nad danymi: utwórz grupy na poziomie konta, aby można było zbiorczo kontrolować dostęp do obszarów roboczych, zasobów i danych. Pozwala to zaoszczędzić na konieczności udzielenia wszystkim użytkownikom dostępu do wszystkich elementów lub udzielenia poszczególnym użytkownikom określonych uprawnień. Możesz również synchronizować grupy z identyfikatora Entra firmy Microsoft z grupami usługi Databricks. |
-
Zarządzanie grupami - Kontrola dostępu do zasobów - Synchronizuj grupy z MS Entra ID do Databricks - Przewodnik dotyczący ładu danych |
| Konfigurowanie dostępu do adresów IP na potrzeby białej listy adresów IP |
Zabezpieczenia: listy dostępu do adresów IP uniemożliwiają użytkownikom uzyskiwanie dostępu do zasobów usługi Azure Databricks w niezabezpieczonych sieciach. Uzyskiwanie dostępu do usługi w chmurze z niezabezpieczonej sieci może stanowić zagrożenie bezpieczeństwa dla przedsiębiorstwa, zwłaszcza gdy użytkownik może mieć autoryzowany dostęp do poufnych lub osobistych danych Upewnij się, że skonfigurowaliśmy listy dostępu do adresów IP dla konsoli konta i obszarów roboczych. |
-
Tworzenie list dostępu do adresów IP dla obszarów roboczych - Tworzenie list dostępu do adresów IP dla konsoli konta |
| Używanie wpisów tajnych usługi Databricks lub menedżera wpisów tajnych dostawcy usług w chmurze | Security: używanie sekretów Databricks umożliwia bezpieczne przechowywanie poświadczeń dla zewnętrznych źródeł danych. Zamiast wprowadzać poświadczenia bezpośrednio do notesu, możesz po prostu odwołać się do sekretu, aby uwierzytelnić się w źródle danych. | - Zarządzanie wpisami tajnymi usługi Databricks |
| Ustawianie dat wygaśnięcia osobistych tokenów dostępu (PAT) | Zabezpieczenia: Administratorzy obszaru roboczego mogą zarządzać punktami uprzywilejowanymi dla użytkowników, grup i jednostek usługi. Ustawienie dat wygaśnięcia dla paT zmniejsza ryzyko utraty tokenów lub długotrwałych tokenów, które mogą prowadzić do eksfiltracji danych z obszaru roboczego. | - Zarządzanie osobistymi tokenami dostępu |
| Używaj alertów budżetowych do monitorowania użycia | Obserwowalność: monitoruj użycie w oparciu o budżety ważne dla Twojej organizacji. Przykłady budżetu to: projekt, migracja, bu i budżety kwartalne lub roczne. | - Tworzenie i monitorowanie budżetów |
| Monitorowanie użycia konta przy użyciu tabel systemowych | Obserwowalność: Tabele systemowe to analizacyjny magazyn danych hostowany w Databricks, danych operacyjnych konta, w tym rejestry kontroli, pochodzenie danych i rozliczane wykorzystanie. Tabele systemowe można wykorzystać do monitorowania w całym koncie. | - Monitorowanie użycia za pomocą tabel systemowych |