Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo tem como objetivo fornecer diretrizes claras e opinativas para administradores de conta e workspace sobre as práticas recomendadas. As práticas a seguir devem ser implementadas por administradores de conta ou workspace para ajudar a otimizar o custo, a observabilidade, a governança de dados e a segurança em sua conta do Azure Databricks.
Para obter práticas recomendadas de segurança detalhadas, consulte este PDF: Práticas recomendadas de segurança e modelo de ameaça do Azure Databricks.
| Melhor prática | Impacto | Documentos |
|---|---|---|
| Habilitar o Catálogo do Unity | Governança de Dados: o Catálogo do Unity fornece recursos centralizados de controle de acesso, auditoria, linhagem e descoberta de dados em workspaces do Azure Databricks. | |
| Aplicar marcas de uso | Observabilidade: tenha um mapeamento discreto de uso para categorias relevantes. Atribua e imponha marcas para as unidades de negócios da sua organização, projetos específicos e quaisquer outros usuários ou grupos. | |
| Usar políticas de cluster |
Custo: controle os custos com terminação automática (para clusters de todas as finalidades), tamanhos máximos de cluster e restrições de tipo de instância. Observabilidade: defina custom_tags em sua política de cluster para impor a marcação.Segurança: restrinja o modo de acesso do cluster para permitir apenas que os usuários criem clusters habilitados para o Catálogo do Unity para impor permissões de dados. |
|
| Usar entidades de serviço para se conectar a softwares de terceiros |
Segurança: um principal de serviço é um tipo de identidade do Databricks que permite que serviços de terceiros se autentiquem diretamente no Databricks, em vez de por meio das credenciais de um usuário individual. Se algo acontecer com as credenciais de um usuário individual, o serviço de terceiros não será interrompido. |
|
| Configurar o gerenciamento automático de identidade | Security: Em vez de adicionar usuários e grupos ao Azure Databricks manualmente, integre-se diretamente com o Microsoft Entra ID para automatizar o provisionamento e desprovisionamento de usuários. Quando um usuário é removido da ID do Microsoft Entra, ele também é removido automaticamente do Databricks. | |
| Gerenciar o controle de acesso com grupos no nível da conta |
Governança de dados: crie grupos no nível da conta para que você possa controlar em massa o acesso a workspaces, recursos e dados. Isso salva você de ter que conceder a todos os usuários acesso a tudo ou conceder permissões específicas a usuários individuais. Você também pode sincronizar grupos da ID do Microsoft Entra para grupos do Databricks. |
|
| Configurar o acesso IP para a lista de permissões de IP |
Segurança: as listas de acesso IP impedem que os usuários acessem recursos do Azure Databricks em redes não seguras. O acesso a um serviço de nuvem de uma rede não segura pode representar riscos de segurança para uma empresa, especialmente quando o usuário pode ter acesso autorizado a dados confidenciais ou pessoais Certifique-se de configurar listas de acesso IP para seu console de conta e workspaces. |
|
| Usar o Databricks Secrets ou um gerenciador de segredos do provedor de nuvem | Segurança: o uso de segredos do Databricks permite que você armazene credenciais com segurança para fontes de dados externas. Em vez de inserir credenciais diretamente em um notebook, você pode simplesmente referenciar um segredo para autenticar em uma fonte de dados. | |
| Definir datas de expiração em PATs (tokens de acesso pessoal) | Segurança: os administradores do workspace podem gerenciar PATs para usuários, grupos e entidades de serviço. Definir datas de validade para PATs reduz o risco de tokens perdidos ou tokens de longa duração que podem levar à exfiltração de dados do workspace. | |
| Usar alertas de orçamento para monitorar o uso | Observabilidade: monitore o uso com base em orçamentos importantes para sua organização. Exemplos de orçamento incluem: projeto, migração, BU e orçamentos trimestrais ou anuais. | |
| Usar tabelas do sistema para monitorar o uso da conta | Observabilidade: Tabelas de sistema são um repositório analítico hospedado pelo Databricks para os dados operacionais da sua conta, incluindo registros de auditoria, linhagem de dados e uso cobrado. Você pode usar tabelas do sistema para observabilidade em sua conta. |