Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł ma na celu przedstawienie jasnych i zdecydowanych wskazówek dla administratorów kont i obszarów roboczych dotyczących zalecanych najlepszych praktyk. Poniższe praktyki powinny być wdrażane przez administratorów kont lub obszarów roboczych, aby pomóc w optymalizacji kosztów, monitorowania, zarządzania danymi i zabezpieczeń na koncie usługi Azure Databricks.
Aby uzyskać szczegółowe rozwiązania w zakresie zabezpieczeń, zobacz ten dokument PDF: Azure Databricks Security Best Practices and Threat Model (Najlepsze rozwiązania i model zagrożeń w usłudze Azure Databricks).
| Najlepsze rozwiązanie | Wpływ | Dokumenty |
|---|---|---|
| Włącz Unity Catalog | Zarządzanie danymi: Unity Catalog zapewnia scentralizowaną kontrolę dostępu, audyt, śledzenie pochodzenia danych oraz odnajdywanie danych w obszarach roboczych usługi Azure Databricks. | |
| Stosowanie tagów użycia | Obserwowalność: mieć dyskretne mapowanie użycia na odpowiednie kategorie. Przypisz i narzuć tagi dla jednostek biznesowych organizacji, konkretnych projektów oraz innych użytkowników lub grup. | |
| Korzystanie z zasad klastra |
Koszt: kontrolowanie kosztów za pomocą automatycznego kończenia (w przypadku klastrów wszystkich celów), maksymalnego rozmiaru klastra i ograniczeń typu wystąpienia. Obserwowalność: Ustaw custom_tags w polityce klastra, aby wymusić tagowanie.Zabezpieczenia: Ogranicz dostęp do klastra, aby umożliwić użytkownikom tworzenie klastrów z obsługą Unity Catalog w celu wymuszania uprawnień do danych. |
|
| Nawiązywanie połączenia z oprogramowaniem innych firm przy użyciu podmiotów usługi |
Zabezpieczenia: jednostka usługi to typ tożsamości usługi Databricks, który umożliwia usługom innych firm uwierzytelnianie bezpośrednio w usłudze Databricks, a nie za pośrednictwem poświadczeń poszczególnych użytkowników. Jeśli coś się stanie z poświadczeniami poszczególnych użytkowników, usługa innej firmy nie zostanie przerwana. |
|
| Konfigurowanie automatycznego zarządzania tożsamościami | Security: Zamiast ręcznego dodawania użytkowników i grup do usługi Azure Databricks, zintegrować się bezpośrednio z Microsoft Entra ID w celu zautomatyzowania aprowizacji i deprowizacji użytkowników. Gdy użytkownik zostanie usunięty z identyfikatora Entra firmy Microsoft, zostanie on również automatycznie usunięty z usługi Databricks. Automatyczne zarządzanie tożsamościami jest domyślnie włączone dla kont utworzonych po 1 sierpnia 2025 r. | |
| Zarządzanie kontrolą dostępu za pomocą grup na poziomie konta |
Nadzór nad danymi: utwórz grupy na poziomie konta, aby można było zbiorczo kontrolować dostęp do obszarów roboczych, zasobów i danych. Pozwala to zaoszczędzić na konieczności udzielenia wszystkim użytkownikom dostępu do wszystkich elementów lub udzielenia poszczególnym użytkownikom określonych uprawnień. Możesz również synchronizować grupy z identyfikatora Entra firmy Microsoft z grupami usługi Databricks. |
|
| Konfigurowanie dostępu do adresów IP na potrzeby białej listy adresów IP |
Zabezpieczenia: listy dostępu do adresów IP uniemożliwiają użytkownikom uzyskiwanie dostępu do zasobów usługi Azure Databricks w niezabezpieczonych sieciach. Uzyskiwanie dostępu do usługi w chmurze z niezabezpieczonej sieci może stanowić zagrożenie bezpieczeństwa dla przedsiębiorstwa, zwłaszcza gdy użytkownik może mieć autoryzowany dostęp do poufnych lub osobistych danych Upewnij się, że skonfigurowaliśmy listy dostępu do adresów IP dla konsoli konta i obszarów roboczych. |
|
| Użyj tajnych Databricks lub menedżera tajemnic dostawcy usług w chmurze | Security: używanie sekretów Databricks umożliwia bezpieczne przechowywanie poświadczeń dla zewnętrznych źródeł danych. Zamiast wprowadzać poświadczenia bezpośrednio do notesu, możesz po prostu odwołać się do tajemnicy, aby zalogować się do źródła danych. | |
| Ustawianie dat wygaśnięcia osobistych tokenów dostępu (PAT) | Zabezpieczenia: Administratorzy obszaru roboczego mogą zarządzać punktami uprzywilejowanymi dla użytkowników, grup i jednostek usługi. Ustawienie dat wygaśnięcia dla PAT zmniejsza ryzyko utraty tokenów lub tokenów o długim okresie ważności, które mogą prowadzić do eksfiltracji danych z przestrzeni roboczej. | |
| Używaj alertów budżetowych do monitorowania użycia | Obserwowalność: monitoruj użycie w oparciu o budżety ważne dla Twojej organizacji. Przykłady budżetu to: projekt, migracja, bu i budżety kwartalne lub roczne. | |
| Monitorowanie użycia konta przy użyciu tabel systemowych | Obserwowalność: Tabele systemowe to analityczny magazyn danych operacyjnych konta hostowany przez Databricks, w tym dzienniki audytu, linia danych i rozliczane użycie. Tabele systemowe można wykorzystać do monitorowania w całym koncie. |