Folha de dicas de administração da plataforma

Este artigo tem como objetivo fornecer orientações claras e opinativas para os administradores de account e workspace sobre as práticas recomendadas. As práticas a seguir devem ser implementadas pelos administradores do account ou workspace para ajudar a otimizar o custo, a observabilidade, a governança de dados e a segurança em seu Databricks account.

Para obter práticas recomendadas de segurança detalhadas, consulte este PDF: Práticas recomendadas de segurança e modelo de ameaças da Databricks AWS.

Melhor prática	Impacto	Documentos
Ativar o Unity Catalog	governança de dados : o site Unity Catalog oferece recursos centralizados de controle de acesso, auditoria, linhagem e descobrimento de dados no espaço de trabalho Databricks.	Configurar e gerenciar o Unity Catalog
Aplicar tags de uso	Observabilidade : Tenha um mapeamento discreto do uso para categorias relevantes. Atribua e aplique tags para as unidades de negócios, projetos específicos e quaisquer outros usuários ou grupos da sua organização.	Painéis de uso
Usar política de cluster	Custo : Controle os custos com encerramento automático (para clusters todo-propósito), tamanhos máximos de clustering e restrições de tipo de instância. Observabilidade : Defina `custom_tags` em sua política de cluster para aplicar a marcação. Segurança : Restrinja o modo de acesso ao clustering para permitir que apenas os usuários criem clusters habilitados para o Unity Catalog para impor permissões de dados.	Criar e gerenciar política de cluster - Monitorar o uso de clustering com tags
Use a entidade de serviço para se conectar a terceiros software	Segurança : Uma entidade de serviço é um tipo de identidade Databricks que permite que serviços de terceiros se autentiquem diretamente em Databricks, e não por meio das credenciais de um usuário individual. Se algo acontecer com as credenciais de um usuário individual, o serviço de terceiros não será interrompido.	Criar e gerenciar entidade de serviço
Configurar o SSO	Segurança : Em vez de fazer com que os usuários digitem seus email para log em um workspace, configure Databricks SSO para que os usuários possam se autenticar por meio do seu provedor de identidade.	Configure SSO o site para o senhor.workspace
Configurar a integração do SCIM	Segurança : Em vez de adicionar usuários ao Databricks manualmente, integre-se ao seu provedor de identidade para automatizar o provisionamento e o desprovisionamento de usuários. Quando um usuário é removido do provedor de identidade, ele também é automaticamente removido do Databricks.	Sincronize usuários e grupos do seu provedor de identidade
Gerenciar o controle de acesso com account-level groups	governança de dados : Crie grupos de nível accountpara que o senhor possa controlar em massa o acesso ao espaço de trabalho, ao recurso e aos dados. Isso evita que você tenha que conceder a todos os usuários acesso a tudo ou conceder permissões específicas a usuários individuais. O senhor também pode sincronizar grupos do seu provedor de identidade com os grupos da Databricks.	gerenciar grupos - Controle o acesso ao recurso - Sincronizar grupos de seu IdP com a Databricks - governança de dados guia
Configurar o acesso IP para a lista branca de IP	Segurança : As listas de acesso IP impedem que os usuários acessem o Databricks recurso em redes não seguras. O acesso a um serviço de nuvem a partir de uma rede não segura pode representar riscos de segurança para uma empresa, especialmente quando o usuário pode ter acesso autorizado a dados confidenciais ou pessoais Certifique-se de configurar listas de acesso IP para o console account e o espaço de trabalho.	Criar listas de acesso IP para o espaço de trabalho - Crie listas de acesso IP para o console account
Configurar um gerenciador de clientes VPC com endpoint regional	Segurança : O senhor pode usar um gerenciador de clientes VPC para exercer mais controle sobre suas configurações de rede e cumprir os padrões específicos de segurança e governança da nuvem que sua organização possa exigir. Custo : O endpoint regional VPC para o serviço AWS tem conexões mais diretas e custo reduzido em comparação com o endpoint global AWS.	Gerenciar clientes VPC
Use o Databricks Secrets ou o gerenciador de segredos de um provedor de nuvem	Segurança : O uso do Databricks secrets permite que o senhor armazene com segurança as credenciais para fontes de dados externas. Em vez de inserir as credenciais diretamente em um Notebook, o senhor pode simplesmente fazer referência a um segredo para se autenticar em uma fonte de dados.	gerenciar Databricks secrets
Definir datas de expiração em tokens de acesso pessoal (PATs)	Segurança : os administradores do espaço de trabalho podem gerenciar PATs para usuários, grupos e entidades de serviço. A definição de datas de validade para os PATs reduz o risco de perda de tokens ou de longa duração de tokens, o que poderia levar à exfiltração de dados do workspace.	gerenciar o acesso pessoal tokens
Use o alerta orçamentário para monitorar o uso	Observabilidade : monitore o uso com base em orçamentos importantes para sua organização. Os exemplos de orçamento incluem: projetos, migrações, BU e orçamentos trimestrais ou anuais.	Crie e monitore orçamentos
Use as tabelas do sistema para monitorar o uso do site account	Observabilidade : As tabelas do sistema são um armazenamento analítico hospedado em Databricksdos dados operacionais do seu account, incluindo auditoria logs, linhagem de dados e uso faturável. O senhor pode usar tabelas de sistema para observabilidade em seu site account.	Monitore o uso com tabelas do sistema