平台管理速查表
本文旨在針對建議的最佳做法,為帳戶和工作區管理員提供明確且有主見的指導。 帳戶或工作區管理員應實作下列做法,以協助最佳化其 Azure Databricks 帳戶中的成本、可觀測性、資料控管和安全性。
如需深入的安全性最佳做法,請參閱此 PDF:Azure Databricks 安全性最佳做法和威脅模型。
| 最佳做法 | 影響 | 文件 |
|---|---|---|
| 啟用 Unity Catalog | 資料控管:Unity Catalog 可跨 Azure Databricks 工作區提供集中式存取控制、稽核、譜系和資料探索功能。 | - 設定和管理 Unity 目錄 |
| 套用使用標籤 | 可觀測性:將使用量對應到相關的離散類別。 指派並強制執行貴組織業務單位、特定專案,以及任何其他使用者或群組的標籤。 | - 監視帳戶控制台中的使用量 |
| 使用叢集原則 |
成本:使用自動終止 (用於通用叢集)、最大叢集大小和執行個體類型限制來控制成本。 可檢視性:在您的叢集原則中設定 custom_tags 來強制執行標記。安全性:將叢集存取模式限制為僅允許使用者建立已啟用 Unity Catalog 的叢集以強制執行資料權限。 |
-
建立和管理叢集原則 - 使用標籤監視叢集使用量 |
| 使用服務主體連線至協力廠商軟體 |
安全性:服務主體是一種 Databricks 身分識別類型,可讓協力廠商服務直接對 Databricks 進行驗證,無需透過個別使用者的認證。 如果個別使用者的認證發生問題,協力廠商服務也不會中斷。 |
- 建立和管理服務主體 |
| 設定 SCIM 整合 | 安全性:與識別提供者整合來自動化使用者佈建和取消佈建,而無需手動將使用者新增至 Databricks。 從識別提供者中移除使用者時,也會自動從 Databricks 中移除相應使用者。 | - 從識別提供者同步使用者和群組 |
| 使用帳戶層級群組管理存取控制 |
資料控管:建立帳戶層級群組,以便可以大量控制對工作區、資源和資料的存取。 這可讓您不必為所有使用者授與對所有內容的存取權,或為個別使用者授與特定權限。 您也可以將群組從識別提供者同步至 Databricks 群組。 |
-
管理群組 - 控制資源的存取 - 將群組從 IdP 同步至 Databricks - 資料控管指南 |
| 為 IP 允許清單設定 IP 存取 |
安全性:IP 存取清單阻止使用者存取不安全網路中的 Azure Databricks 資源。 從不安全的網路存取雲端服務會給企業帶來安全風險,尤其是在使用者可能已獲授權存取敏感資料或個人資料的情況下 請確保為帳戶主控台和工作區設定 IP 存取清單。 |
-
為工作區建立 IP 存取清單 - 為帳戶主控台建立 IP 存取清單 |
| 使用 Databricks 祕密或雲端提供者祕密管理員 | 安全性:使用 Databricks 祕密可讓您安全地儲存外部資料來源的認證。 無需直接將認證輸入到筆記本中,只需參考祕密即可向資料來源進行驗證。 | - 管理 Databricks 祕密 |
| 設定個人存取權杖 (PAT) 的到期日 | 安全性:工作區管理員可以管理使用者、群組和服務主體的 PAT。 設定 PAT 的到期日可降低遺失權杖的風險,或降低可能導致工作區資料外流的持久性權杖的風險。 | - 管理個人存取權杖 |
| 使用預算警示來監視使用量 | 可檢視性:根據對組織而言很重要的預算來監視使用量。 預算範例包括:專案、移轉、BU 和每季或年度預算。 | - 使用預算來監視帳戶支出 |
| 使用系統資料表來監視帳戶使用量 | 可檢視性:系統資料表是由 Databricks 託管的帳戶操作資料的分析存放區,包括稽核記錄、資料譜系和可計費使用量。 您可以使用系統資料表在整個帳戶中實現可檢視性。 | - 使用系統資料表監視使用量 |