Cheat sheet de administração da plataforma
Este artigo tem como objetivo fornecer orientações claras e opinativas para administradores de contas e espaços de trabalho sobre as práticas recomendadas recomendadas. As práticas a seguir devem ser implementadas pelos administradores de conta ou espaço de trabalho para ajudar a otimizar o custo, a observabilidade, a governança de dados e a segurança em sua conta do Azure Databricks.
Para obter práticas recomendadas de segurança detalhadas, consulte este PDF: Práticas recomendadas de segurança e modelo de ameaça do Azure Databricks.
| Melhor prática | Impacto | Documentos |
|---|---|---|
| Ativar catálogo Unity | Governança de dados: o Unity Catalog fornece recursos centralizados de controle de acesso, auditoria, linhagem e descoberta de dados nos espaços de trabalho do Azure Databricks. | - Configurar e gerir o Catálogo Unity |
| Aplicar tags de uso | Observabilidade: Ter um mapeamento discreto do uso para as categorias relevantes. Atribua e aplique tags para as unidades de negócios da sua organização, projetos específicos e quaisquer outros usuários ou grupos. | - Monitorar o uso no console da conta |
| Usar políticas de cluster |
Custo: controle os custos com terminação automática (para clusters para todos os fins), tamanhos máximos de cluster e restrições de tipo de instância. Observabilidade: defina custom_tags sua política de cluster para impor a marcação.Segurança: restrinja o modo de acesso ao cluster para permitir que os usuários criem clusters habilitados para Unity Catalog para impor permissões de dados. |
-
Criar e gerenciar políticas de cluster - Monitorar o uso do cluster com tags |
| Usar entidades de serviço para se conectar a software de terceiros |
Segurança: uma entidade de serviço é um tipo de identidade Databricks que permite que serviços de terceiros se autentiquem diretamente no Databricks, não por meio de credenciais de um usuário individual. Se algo acontecer com as credenciais de um usuário individual, o serviço de terceiros não será interrompido. |
- Criar e gerenciar entidades de serviço |
| Configurar a integração SCIM | Segurança: em vez de adicionar usuários ao Databricks manualmente, integre-se ao seu provedor de identidade para automatizar o provisionamento e o desprovisionamento de usuários. Quando um usuário é removido do provedor de identidade, ele também é removido automaticamente do Databricks. | - Sincronizar utilizadores e grupos a partir do seu fornecedor de identidades |
| Gerencie o controle de acesso com grupos no nível da conta |
Governança de dados: crie grupos no nível da conta para que você possa controlar em massa o acesso a espaços de trabalho, recursos e dados. Isso evita que você tenha que conceder a todos os usuários acesso a tudo ou conceder permissões específicas a usuários individuais. Você também pode sincronizar grupos do seu provedor de identidade com grupos do Databricks. |
-
Gerir grupos - Controlar o acesso aos recursos - Sincronizar grupos do seu IdP para Databricks - Guia de governança de dados |
| Configurar o acesso IP para a lista branca de IP |
Segurança: as listas de acesso IP impedem que os utilizadores acedam aos recursos do Azure Databricks em redes não seguras. Aceder a um serviço na nuvem a partir de uma rede não segura pode representar riscos de segurança para uma empresa, especialmente quando o utilizador pode ter acesso autorizado a dados sensíveis ou pessoais Certifique-se de configurar listas de acesso IP para o console da conta e espaços de trabalho. |
-
Criar listas de acesso IP para espaços de trabalho - Criar listas de acesso IP para o console da conta |
| Use o Databricks Secrets ou um gerenciador de segredos de provedor de nuvem | Segurança: Usar segredos do Databricks permite armazenar credenciais com segurança para fontes de dados externas. Em vez de inserir credenciais diretamente em um bloco de anotações, você pode simplesmente fazer referência a um segredo para autenticar em uma fonte de dados. | - Gerenciar segredos do Databricks |
| Definir datas de expiração em tokens de acesso pessoal (PATs) | Segurança: os administradores de espaços de trabalho podem gerenciar PATs para usuários, grupos e entidades de serviço. Definir datas de expiração para PATs reduz o risco de perda de tokens ou tokens de longa duração que podem levar à exfiltração de dados do espaço de trabalho. | - Gerir os tokens de acesso pessoal |
| Usar alertas de orçamento para monitorar o uso | Observabilidade: Monitorize o uso com base em orçamentos importantes para a sua organização. Exemplos de orçamento incluem: projeto, migração, BU e orçamentos trimestrais ou anuais. | - Usar orçamentos para monitorar os gastos da conta |
| Usar tabelas do sistema para monitorar o uso da conta | Observabilidade: As tabelas do sistema são um armazenamento analítico hospedado pelo Databricks dos dados operacionais da sua conta, incluindo logs de auditoria, linhagem de dados e uso faturável. Você pode usar tabelas do sistema para observabilidade em toda a sua conta. | - Monitorar o uso com tabelas do sistema |