Dela via

Fuskark för plattformsadministration

  • Artikel

Den här artikeln syftar till att ge tydlig och åsiktsorienterad vägledning för konto- och arbetsyteadministratörer om rekommenderade metodtips. Följande metoder bör implementeras av konto- eller arbetsyteadministratörer för att optimera kostnader, observerbarhet, datastyrning och säkerhet i deras Azure Databricks-konto.

Mer ingående metodtips för säkerhet finns i den här PDF-filen: Metodtips och hotmodell för Azure Databricks-säkerhet.

Bästa metod Påverkan Dokument
Aktivera Unity-katalog Datastyrning: Unity Catalog tillhandahåller centraliserade funktioner för åtkomstkontroll, granskning, ursprung och dataidentifiering i Azure Databricks-arbetsytor.
Använda användningstaggar Observability: Ha diskret mappning av användningen till relevanta kategorier. Tilldela och framtvinga taggar för organisationens affärsenheter, specifika projekt och andra användare eller grupper.
Använda klusterprinciper Kostnad: Kontrollera kostnader med automatisk avslutning (för kluster för alla syften), maximala klusterstorlekar och begränsningar för instanstyp.
Observerbarhet: Ställ in custom_tags i klusterprincipen för att framtvinga taggning.
Säkerhet: Begränsa åtkomstläget för kluster så att endast användare kan skapa Unity Catalog-aktiverade kluster för att framtvinga databehörigheter.
Använda tjänstens huvudnamn för att ansluta till programvara från tredje part Säkerhet: Ett huvudnamn för tjänsten är en Databricks-identitetstyp som gör att tjänster från tredje part kan autentisera direkt till Databricks, inte via en enskild användares autentiseringsuppgifter.
Om något händer med en enskild användares autentiseringsuppgifter avbryts inte tjänsten från tredje part.
Konfigurera automatisk identitetshantering Security: I stället för att lägga till användare och grupper i Azure Databricks manuellt kan du integrera direkt med Microsoft Entra-ID för att automatisera användaretablering och avetablering. När en användare tas bort från Microsoft Entra-ID tas de också bort automatiskt från Databricks.
Hantera åtkomstkontroll med grupper på kontonivå Datastyrning: Skapa grupper på kontonivå så att du kan masskontrollera åtkomsten till arbetsytor, resurser och data. Detta sparar dig från att behöva ge alla användare åtkomst till allt eller ge enskilda användare specifika behörigheter.
Du kan också synkronisera grupper från Microsoft Entra-ID till Databricks-grupper.
Konfigurera IP-åtkomst för IP-vitlistning Säkerhet: IP-åtkomstlistor hindrar användare från att komma åt Azure Databricks-resurser i oskyddade nätverk. Åtkomst till en molntjänst från ett oskyddat nätverk kan utgöra säkerhetsrisker för ett företag, särskilt när användaren kan ha auktoriserad åtkomst till känsliga eller personliga data
Se till att konfigurera IP-åtkomstlistor för kontokonsolen och arbetsytor.
Använda Databricks-hemligheter eller en molnleverantörshemlighetshanterare Säkerhet: Med Databricks-hemligheter kan du lagra autentiseringsuppgifter på ett säkert sätt för externa datakällor. I stället för att ange autentiseringsuppgifter direkt i en notebook-fil kan du bara referera till en hemlighet för att autentisera till en datakälla.
Ange förfallodatum för personliga åtkomsttoken (PAT) Säkerhet: Arbetsyteadministratörer kan hantera PAT för användare, grupper och tjänstens huvudnamn. Om du anger förfallodatum för PAT minskar risken för förlorade token eller långvariga token som kan leda till dataexfiltrering från arbetsytan.
Använda budgetaviseringar för att övervaka användningen Observabilitet: Övervaka användningen utifrån de budgetar som är viktiga för din organisation. Budgetexempel är: projekt, migrering, BU och kvartalsvisa eller årliga budgetar.
Använda systemtabeller för att övervaka kontoanvändning Observerbarhet: Systemtabeller är ett Databricks-värdbaserat analyslager för ditt kontos driftdata, inklusive granskningsloggar, data härkomst och fakturerbar användning. Du kan använda systemtabeller för observerbarhet i hela ditt konto.