Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel is bedoeld om duidelijke en geïnformeerde aanbevelingen te geven voor account- en werkruimtebeheerders over aanbevolen beste werkwijzen. De volgende procedures moeten worden geïmplementeerd door account- of werkruimtebeheerders om kosten, waarneembaarheid, gegevensbeheer en beveiliging in hun Azure Databricks-account te optimaliseren.
Zie deze PDF voor uitgebreide beveiligingsbest practices: Azure Databricks Security Best Practices en Bedreigingsmodel.
| Best practice | Invloed | Documenten |
|---|---|---|
| Unity-catalogus inschakelen | Gegevensbeheer: Unity Catalog biedt gecentraliseerd toegangsbeheer, controle, herkomst en mogelijkheden voor gegevensdetectie in Azure Databricks-werkruimten. | |
| Gebruikstags toepassen | Waarneembaarheid: Eenduidige toewijzing van het gebruik aan relevante categorieën. Tags toewijzen en afdwingen voor de bedrijfseenheden, specifieke projecten en andere gebruikers of groepen van uw organisatie. | |
| Clusterbeleid gebruiken |
Kosten: beheer de kosten met automatische beëindiging (voor clusters voor alle doeleinden), maximale clustergrootten en beperkingen voor instantietypen. Waarneembaarheid: stel custom_tags in uw clusterbeleid in om taggen af te dwingen.Beveiliging: Beperk de clustertoegangsmodus zodat alleen gebruikers clusters met Unity Catalog kunnen maken om gegevensmachtigingen af te dwingen. |
|
| Service-principals gebruiken om verbinding te maken met software van derden |
Beveiliging: Een service-principal is een Databricks-identiteitstype waarmee services van derden rechtstreeks kunnen worden geverifieerd bij Databricks, niet via de referenties van een afzonderlijke gebruiker. Als er iets gebeurt met de referenties van een afzonderlijke gebruiker, wordt de service van derden niet onderbroken. |
|
| Automatisch identiteitsbeheer instellen | Security: In plaats van gebruikers en groepen handmatig toe te voegen aan Azure Databricks, integreer rechtstreeks met Microsoft Entra ID om het inrichten en het intrekken van gebruikers te automatiseren. Wanneer een gebruiker wordt verwijderd uit Microsoft Entra ID, worden ze ook automatisch verwijderd uit Databricks. Automatisch identiteitsbeheer is standaard ingeschakeld voor accounts die zijn gemaakt na 1 augustus 2025. |
|
| Toegangsbeheer beheren met groepen op accountniveau |
Gegevensbeheer: maak groepen op accountniveau, zodat u de toegang tot werkruimten, resources en gegevens bulksgewijs kunt beheren. Hierdoor hoeft u niet alle gebruikers toegang te verlenen tot alles of afzonderlijke gebruikers specifieke machtigingen te verlenen. U kunt ook groepen van Microsoft Entra-id synchroniseren met Databricks-groepen. |
|
| IP-toegang instellen voor IP-whitelisting |
Beveiliging: IP-toegangslijsten voorkomen dat gebruikers toegang hebben tot Azure Databricks-resources in onbeveiligde netwerken. Toegang tot een cloudservice vanuit een onbeveiligd netwerk kan beveiligingsrisico's voor een onderneming vormen, met name wanneer de gebruiker geautoriseerde toegang heeft tot gevoelige of persoonlijke gegevens Zorg ervoor dat u IP-toegangslijsten instelt voor uw accountconsole en werkruimten. |
|
| Gebruik Databricks Secrets of een cloudprovider-geheimenbeheerder | Beveiliging: Met Databricks-geheimen kunt u veilig referenties opslaan voor externe gegevensbronnen. In plaats van inloggegevens rechtstreeks in een notebook in te voeren, kunt u gewoon verwijzen naar een geheim om te authenticeren bij een gegevensbron. | |
| Vervaldatums instellen voor persoonlijke toegangstokens (PAW's) | Beveiliging: Werkruimtebeheerders kunnen PAT's beheren voor gebruikers, groepen en service-principals. Het instellen van vervaldatums voor PAT's vermindert het risico op verloren of langdurig bestaande tokens die kunnen leiden tot exfiltratie van gegevens vanuit de werkruimte. | |
| Budgetwaarschuwingen gebruiken om het gebruik te bewaken | Waarneembaarheid: Bewaak het gebruik op basis van budgetten die belangrijk zijn voor uw organisatie. Budgetvoorbeelden zijn: project-, migratie-, BU- en kwartaal- of jaarlijkse budgetten. | |
| Systeemtabellen gebruiken om het gebruik van accounts te bewaken | Waarneembaarheid: Systeemtabellen zijn een door Databricks gehoste analytische opslag van de operationele gegevens van uw account, waaronder auditlogboeken, gegevensherkomst en factureerbaar gebruik. U kunt systeemtabellen gebruiken voor waarneembaarheid in uw account. |