Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся четкое и аргументированное руководство для администраторов аккаунтов и рабочих областей по рекомендуемым лучшим практикам. Следующие методики следует реализовать администраторами учетных записей или рабочих областей, чтобы оптимизировать затраты, наблюдаемость, управление данными и безопасность в учетной записи Azure Databricks.
Подробные рекомендации по обеспечению безопасности см. в этом pdf-файле: Azure Databricks Security Best Practices and Threat Model.
| Наилучшая практика | Воздействие | Документация |
|---|---|---|
| Включение каталога Unity | управление данными: Каталог Unity предоставляет централизованный контроль доступа, аудит, линейность данных и возможности обнаружения данных в рабочих областях Azure Databricks. | |
| Применение тегов использования | Наблюдаемость: обеспечение точного соответствия использования соответствующим категориям. Назначение и принудительное применение тегов для бизнес-подразделений организации, конкретных проектов и других пользователей или групп. | |
| Использование политик кластера |
Затраты: управление затратами с автоматическим завершением (для универсальных кластеров), максимальным размером кластера и ограничениями типов экземпляров. Наблюдаемость: Установите custom_tags в политике кластера для принудительного добавления тегов.Безопасность: ограничить режим доступа к кластеру, разрешая пользователям создавать кластеры только с поддержкой каталога Unity для обеспечения применения разрешений на данные. |
|
| Использование служебных принципов для подключения к стороннему программному обеспечению |
Безопасность: сервисный принципал — это тип удостоверения Databricks, который позволяет сторонним службам аутентифицироваться непосредственно в Databricks, а не через учетные данные отдельного пользователя. Если что-то происходит с учетными данными отдельного пользователя, сторонняя служба не будет прервана. |
|
| Настройка автоматического управления идентификацией | Security. Вместо того чтобы добавлять пользователей и группы в Azure Databricks вручную, интегрируйтесь напрямую с Microsoft Entra ID для автоматизации процесса предоставления и отзыва прав доступа пользователям. Когда пользователь удаляется из идентификатора Microsoft Entra, он автоматически удаляется из Databricks. Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г. | |
| Управление доступом с помощью групп на уровне учетной записи |
Управление данными: создайте группы на уровне учетной записи, чтобы можно было массово управлять доступом к рабочим областям, ресурсам и данным. Это освобождает вас от необходимости предоставлять всем пользователям доступ ко всему или предоставлять отдельным пользователям конкретные разрешения. Вы также можете синхронизировать группы из идентификатора Microsoft Entra с группами Databricks. |
|
| Настройка IP-доступа для добавления IP-адресов в белый список |
Безопасность: списки IP-доступа не позволяют пользователям получать доступ к ресурсам Azure Databricks в незащищенных сетях. Доступ к облачной службе из незащищенной сети может представлять угрозу безопасности для предприятия, особенно если у пользователя может быть авторизованный доступ к конфиденциальным или личным данным. Обязательно настройте списки IP-доступа для консоли учетной записи и рабочих областей. |
|
| Использование секретов Databricks или диспетчера секретов поставщика облачных услуг | Безопасность. Использование секретов Databricks позволяет безопасно хранить учетные данные для внешних источников данных. Вместо ввода учетных данных непосредственно в записную книжку можно просто ссылаться на секрет для проверки подлинности в источнике данных. | |
| Установка сроков истечения для личных токенов доступа (PAT) | Безопасность: администраторы рабочих областей могут управлять PATs для пользователей, групп и субъектов-служб. Установка дат окончания срока действия для токенов PAT снижает риск потери токенов или долгосрочных токенов, которые могут привести к эксфильтрации данных из рабочей области. | |
| Использование оповещений бюджета для мониторинга использования | Наблюдаемость: Отслеживание использования на основе бюджетов, важных для вашей организации. Примеры бюджета включают: проект, миграцию, БУ и квартальные или ежегодные бюджеты. | |
| Использование системных таблиц для мониторинга использования учетной записи | Наблюдаемость. Системные таблицы — это аналитическое хранилище, размещенное в Databricks, для операционных данных вашей учетной записи, включая журналы аудита, происхождение данных и оплачиваемое использование. Системные таблицы можно использовать для наблюдения в пределах вашей учетной записи. |