Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Ez a cikk világos és véleményezett útmutatást nyújt a fiók- és munkaterület-rendszergazdák számára az ajánlott eljárásokról. Az alábbi eljárásokat fiók- vagy munkaterület-rendszergazdáknak kell implementálniuk, hogy optimalizálhassák a költségeket, a megfigyelhetőséget, az adatszabályozást és a biztonságot az Azure Databricks-fiókjukban.
A részletes biztonsági ajánlott eljárásokért tekintse meg ezt a PDF-t: Azure Databricks biztonsági ajánlott eljárások és fenyegetésmodell.
| Ajánlott eljárások | Hatás | Dokumentumok |
|---|---|---|
| Unity-katalógus engedélyezése | Adatszabályozási: A Unity Catalog központosított hozzáférés-vezérlési, naplózási, adatfeltárási és adatfelderítési képességeket biztosít az Azure Databricks-munkaterületeken. | |
| Használati címkék alkalmazása | Megfigyelhetőség: A használat különálló leképezése a releváns kategóriákhoz. Címkék hozzárendelése és kikényszerítése a szervezet üzleti egységeihez, adott projektjeihez és bármely más felhasználóhoz vagy csoporthoz. | |
| Fürtszabályzatok használata |
Költség: A költségek szabályozása automatikus leállítással (általános célú fürtök esetén), maximális fürtmérettel és példánytípus-korlátozásokkal. Megfigyelhetőség: Állítsa be a custom_tags értéket a fürtszabályzatban a címkézés érvényesítésére.biztonsági: Korlátozza a fürtelérési módot, hogy a felhasználók csak unitykatalógus-kompatibilis fürtöket hozzanak létre az adatengedélyek kikényszerítéséhez. |
|
| Szolgáltatásnevek használata harmadik féltől származó szoftverekhez való csatlakozáshoz |
Biztonság: A szolgáltatásfiók olyan Databricks-identitástípus, amely lehetővé teszi a külső szolgáltatások számára, hogy közvetlenül hitelesítést végezzenek a Databricksben, nem pedig az egyes felhasználói hitelesítő adatokon keresztül. Ha valami történik az egyes felhasználók hitelesítő adataival, a külső szolgáltatás nem fog megszakadni. |
|
| Automatikus identitáskezelés beállítása | Biztonsági: Felhasználók és csoportok manuális hozzáadása helyett integráljon közvetlenül a Microsoft Entra ID-hez a felhasználók létrehozásának és megszüntetésének automatizálásához. Amikor egy felhasználót eltávolít a Microsoft Entra-azonosítóból, a rendszer automatikusan eltávolítja őket a Databricksből is. Az automatikus identitáskezelés alapértelmezés szerint engedélyezve van a 2025. augusztus 1. után létrehozott fiókok esetében. | |
| Hozzáférés-vezérlés kezelése fiókszintű csoportokkal |
Adatszabályozás: Fiókszintű csoportokat hozhat létre, így tömegesen szabályozhatja a munkaterületekhez, erőforrásokhoz és adatokhoz való hozzáférést. Így nem kell minden felhasználónak hozzáférést biztosítania mindenhez, vagy adott engedélyeket kell adnia az egyes felhasználóknak. A Microsoft Entra-azonosítóból a Databricks-csoportokba is szinkronizálhat csoportokat. |
|
| IP-hozzáférés beállítása fehérlistához |
Biztonság: Az IP-hozzáférési listák megakadályozzák, hogy a felhasználók nem biztonságos hálózatokban férhessenek hozzá az Azure Databricks-erőforrásokhoz. A felhőszolgáltatás nem biztonságos hálózatról való elérése biztonsági kockázatot jelenthet a vállalat számára, különösen akkor, ha a felhasználó jogosult hozzáféréssel rendelkezik bizalmas vagy személyes adatokhoz Mindenképpen állítson be IP-hozzáférési listákat a fiókkonzolhoz és a munkaterületekhez. |
|
| A Databricks Titkos kulcsok vagy felhőszolgáltatói titkos kódok kezelőjének használata | Biztonsági: A Databricks titkos kulcsainak használatával biztonságosan tárolhatja a külső adatforrások hitelesítő adatait. Ahelyett, hogy közvetlenül egy jegyzetfüzetbe ír be hitelesítő adatokat, egyszerűen hivatkozhat egy titkos kódra az adatforrás hitelesítéséhez. | |
| Lejárati dátumok beállítása személyes hozzáférési jogkivonatokon (PAT-okon) | Biztonság: A munkaterület rendszergazdái kezelhetik a felhasználók, csoportok és szolgáltatásnevek paT-jait. A PAT-k lejárati dátumainak beállítása csökkenti az elveszett jogkivonatok vagy tartós jogkivonatok kockázatát, amelyek adatkiszivárgáshoz vezethetnek a munkaterületről. | |
| Költségvetés-riasztások használata a használat figyeléséhez | Megfigyelhetőség: A használat monitorozása a szervezet számára fontos költségvetések alapján. A költségvetési példák a következők: projekt, migrálás, BU és negyedéves vagy éves költségvetések. | |
| A fiókhasználat figyelése rendszertáblák használatával | Megfigyelhetőség: A rendszertáblák a fiók működési adatainak Databricks által üzemeltetett elemzési tárai, beleértve az auditnaplókat, az adatsorokat és a számlázható használatot. A rendszertáblák segítségével áttekinthetőséget nyerhet a fiókjában. |