Folha de referências da administração de plataforma
Este artigo tem como objetivo fornecer diretrizes claras e opinativas para administradores de conta e workspace sobre as práticas recomendadas. As práticas a seguir devem ser implementadas por administradores de conta ou workspace para ajudar a otimizar o custo, a observabilidade, a governança de dados e a segurança em sua conta do Azure Databricks.
Para obter práticas recomendadas de segurança detalhadas, consulte este PDF: Práticas recomendadas de segurança e modelo de ameaça do Azure Databricks.
| Melhor prática | Impacto | Docs |
|---|---|---|
| Habilitar o Catálogo do Unity | Governança de Dados: o Catálogo do Unity fornece recursos centralizados de controle de acesso, auditoria, linhagem e descoberta de dados em workspaces do Azure Databricks. | - Configurar e gerenciar o Catálogo do Unity |
| Usar políticas de cluster | Custo: controle os custos com terminação automática (para clusters de todas as finalidades), tamanhos máximos de cluster e restrições de tipo de instância. Observabilidade: defina custom_tags em sua política de cluster para impor a marcação.Segurança: restrinja o modo de acesso do cluster para permitir apenas que os usuários criem clusters habilitados para o Catálogo do Unity para impor permissões de dados. |
- Crie e gerencie políticas de cluster - Monitore o uso do cluster com tags |
| Usar entidades de serviço para se conectar a softwares de terceiros | Segurança: uma entidade de serviço é um tipo de identidade do Databricks que permite que serviços de terceiros se autentiquem diretamente no Databricks, não por meio das credenciais de um usuário individual. Se algo acontecer com as credenciais de um usuário individual, o serviço de terceiros não será interrompido. |
- Criar e gerenciar entidades de serviço |
| Configurar a integração do SCIM | Segurança: em vez de adicionar usuários ao Databricks manualmente, integre-se ao seu provedor de identidade para automatizar o provisionamento e o desprovisionamento de usuários. Quando um usuário é removido do provedor de identidade, ele também é removido automaticamente do Databricks. | - Sincronizar usuários e grupos do seu provedor de identidade |
| Gerenciar o controle de acesso com grupos no nível da conta | Governança de dados: crie grupos no nível da conta para que você possa controlar em massa o acesso a workspaces, recursos e dados. Isso salva você de ter que conceder a todos os usuários acesso a tudo ou conceder permissões específicas a usuários individuais. Você também pode sincronizar grupos de seu provedor de identidade com grupos do Databricks. |
- Gerenciar grupos - Controlar acesso a recursos - Sincronizar grupos do IdP com o Databricks - Guia de governança de dados |
| Configurar o acesso IP para a lista de permissões de IP | Segurança: as listas de acesso IP impedem que os usuários acessem recursos do Azure Databricks em redes não seguras. O acesso a um serviço de nuvem de uma rede não segura pode representar riscos de segurança para uma empresa, especialmente quando o usuário pode ter acesso autorizado a dados confidenciais ou pessoais Certifique-se de configurar listas de acesso IP para seu console de conta e workspaces. |
- Criar listas de acesso IP para workspaces - Criar listas de acesso IP para o console da conta |
| Usar o Databricks Secrets ou um gerenciador de segredos do provedor de nuvem | Segurança: o uso de segredos do Databricks permite que você armazene credenciais com segurança para fontes de dados externas. Em vez de inserir credenciais diretamente em um notebook, você pode simplesmente referenciar um segredo para autenticar em uma fonte de dados. | - Gerenciar segredos do Databricks |
| Definir datas de expiração em PATs (tokens de acesso pessoal) | Segurança: os administradores do workspace podem gerenciar PATs para usuários, grupos e entidades de serviço. Definir datas de validade para PATs reduz o risco de tokens perdidos ou tokens de longa duração que podem levar à exfiltração de dados do workspace. | - Gerenciar tokens de acesso pessoal |
| Usar tabelas do sistema para monitorar o uso da conta | Observabilidade: as tabelas do sistema são um repositório analítico hospedado pelo Databricks dos dados operacionais da sua conta, incluindo logs de auditoria, linhagem de dados e uso faturável. Você pode usar tabelas do sistema para observabilidade em sua conta. | - Monitorar o uso com tabelas do sistema |