Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Cílem tohoto článku je poskytnout jasné a názorné pokyny pro správce účtů a pracovních prostorů ohledně doporučených osvědčených postupů. Následující postupy by měly implementovat správci účtů nebo pracovních prostorů, které pomáhají optimalizovat náklady, pozorovatelnost, zásady správného řízení dat a zabezpečení ve svém účtu Azure Databricks.
Podrobné osvědčené postupy zabezpečení najdete v tématu Osvědčené postupy zabezpečení v Databricks Security &Trust Center.
| Osvědčený postup | Dopad | Dokumenty |
|---|---|---|
| Povolení katalogu Unity | Zásady správného řízení dat: Katalog Unity poskytuje centralizované řízení přístupu, auditování, rodokmen a možnosti zjišťování dat v pracovních prostorech Azure Databricks. | |
| Přidejte značky použití | Sledovatelnost: Mít jednoznačné přiřazení využití na relevantní kategorie. Přiřaďte a vynucujte značky pro organizační jednotky, konkrétní projekty a všechny ostatní uživatele nebo skupiny. |
|
| Použití zásad clusteru |
Náklady: Řízení nákladů pomocí automatického ukončení (pro clustery pro všechny účely), maximální velikosti clusterů a omezení typů instancí Pozorovatelnost: Nastavte custom_tags v zásadách clusteru tak, aby bylo vynuceno označování.Zabezpečení: Omezte režim přístupu ke clusteru tak, aby uživatelé mohli vytvářet clustery s podporou katalogu Unity, aby vynucovaly oprávnění k datům. |
|
| Použijte servisní principály k připojení k softwaru třetích stran |
Zabezpečení: Hlavní služba je typ identity v Databricks, který umožňuje externím službám ověřovat se přímo na Databricks, nikoliv prostřednictvím přihlašovacích údajů jednotlivých uživatelů. Pokud se něco stane s přihlašovacími údaji jednotlivých uživatelů, služba třetí strany se nepřeruší. |
|
| Nastavení automatické správy identit | zabezpečení: Místo ručního přidávání uživatelů a skupin do Azure Databricks se integrujte přímo s ID Microsoft Entra, abyste automatizovali zřizování a rušení zřizování uživatelů. Když se uživatel odebere z ID Microsoft Entra, automaticky se odebere i z Databricks. Automatická správa identit je ve výchozím nastavení povolená pro účty vytvořené po 1. srpnu 2025. | |
| Správa řízení přístupu pomocí skupin na úrovni účtu |
Zásady správného řízení dat: Vytvořte skupiny na úrovni účtu, abyste mohli hromadně řídit přístup k pracovním prostorům, prostředkům a datům. To vám ušetří možnost udělit všem uživatelům přístup ke všemu nebo udělit jednotlivým uživatelům specifická oprávnění. Skupiny můžete také synchronizovat z ID Microsoft Entra do skupin Databricks. |
|
| Nastavení přístupu IP pro přidávání IP adres na seznam povolených |
Zabezpečení: Seznamy přístupu IP brání uživatelům v přístupu k prostředkům Azure Databricks v nezabezpečených sítích. Přístup ke cloudové službě z nezabezpečené sítě může představovat bezpečnostní rizika pro podnik, zejména v případě, že uživatel může mít autorizovaný přístup k citlivým nebo osobním údajům. Nezapomeňte nastavit přístupové seznamy IP adres pro konzolu a pracovní prostory účtu. |
|
| Použijte tajemství Databricks nebo správce tajemství cloudového poskytovatele | Zabezpečení: Pomocí tajných kódů Databricks můžete bezpečně ukládat přihlašovací údaje pro externí zdroje dat. Místo zadávání přihlašovacích údajů přímo do poznámkového bloku můžete jednoduše odkazovat na tajný kód pro ověření ve zdroji dat. | |
| Nastavení dat vypršení platnosti osobních přístupových tokenů (PAT) | Zabezpečení: Správci pracovních prostorů mohou spravovat PATs pro uživatele, skupiny a principály služeb. Nastavení dat vypršení platnosti pro osobní přístupové tokeny snižuje riziko ztráty nebo dlouhodobého používání tokenů, které mohou vést k úniku dat z pracovního prostoru. | |
| Použijte upozornění na rozpočet k monitorování využití | Monitorování: Monitorujte využití na základě rozpočtů důležitých pro vaši organizaci. Mezi příklady rozpočtu patří: projekt, migrace, BU a čtvrtletní nebo roční rozpočty. | |
| Použití systémových tabulek k monitorování využití účtu | Pozorovatelnost: Systémové tabulky jsou analytické úložiště provozních dat vašeho účtu hostované službou Databricks, včetně protokolů auditu, rodokmenu dat a fakturovatelného využití. Systémové tabulky můžete použít k pozorovatelnosti v rámci vašeho účtu. |