Pular para o conteúdo principal

Folha de dicas de administração da plataforma

Este artigo tem como objetivo fornecer orientações claras e opinativas para os administradores de account e workspace sobre as práticas recomendadas. As práticas a seguir devem ser implementadas pelos administradores do account ou workspace para ajudar a otimizar o custo, a observabilidade, a governança de dados e a segurança em seu Databricks account.

Para obter práticas recomendadas de segurança detalhadas, consulte este PDF: Práticas recomendadas de segurança e modelo de ameaças do Databricks GCP.

Melhor prática

Impacto

Documentos

Ativar o Unity Catalog

governança de dados : o site Unity Catalog oferece recursos centralizados de controle de acesso, auditoria, linhagem e descobrimento de dados no espaço de trabalho Databricks.

Aplicar tags de uso

Observabilidade : Tenha um mapeamento discreto do uso para categorias relevantes. Atribua e aplique tags para as unidades de negócios, projetos específicos e quaisquer outros usuários ou grupos da sua organização.

Usar política de cluster

Custo : Controle de custos com encerramento automático (para clusters todo-propósito), limitando o tamanho máximo do clustering. Observabilidade : Defina custom_tags em sua política de cluster para aplicar a marcação. Segurança : Restrinja o modo de acesso ao clustering para permitir que apenas os usuários criem clusters habilitados para o Unity Catalog para impor permissões de dados.

Use a entidade de serviço para se conectar a terceiros software

Segurança : Uma entidade de serviço é um tipo de identidade Databricks que permite que serviços de terceiros se autentiquem diretamente em Databricks, e não por meio das credenciais de um usuário individual. Se algo acontecer com as credenciais de um usuário individual, o serviço de terceiros não será interrompido.

Configurar a integração do SCIM

Segurança : Em vez de adicionar usuários ao Databricks manualmente, integre-se ao seu provedor de identidade para automatizar o provisionamento e o desprovisionamento de usuários. Quando um usuário é removido do provedor de identidade, ele também é automaticamente removido do Databricks.

Gerenciar o controle de acesso com account-level groups

governança de dados : Crie grupos de nível accountpara que o senhor possa controlar em massa o acesso ao espaço de trabalho, ao recurso e aos dados. Isso evita que você tenha que conceder a todos os usuários acesso a tudo ou conceder permissões específicas a usuários individuais. O senhor também pode sincronizar grupos do seu provedor de identidade com os grupos da Databricks.

Configurar o acesso IP para a lista branca de IP

Segurança : As listas de acesso IP impedem que os usuários acessem o Databricks recurso em redes não seguras. O acesso a um serviço de nuvem a partir de uma rede não segura pode representar riscos de segurança para uma empresa, especialmente quando o usuário pode ter acesso autorizado a dados confidenciais ou pessoais Certifique-se de configurar listas de acesso IP para o console account e o espaço de trabalho.

Use o Databricks Secrets ou o gerenciador de segredos de um provedor de nuvem

Segurança : O uso do Databricks secrets permite que o senhor armazene com segurança as credenciais para fontes de dados externas. Em vez de inserir as credenciais diretamente em um Notebook, o senhor pode simplesmente fazer referência a um segredo para se autenticar em uma fonte de dados.

Definir datas de expiração em tokens de acesso pessoal (PATs)

Segurança : os administradores do espaço de trabalho podem gerenciar PATs para usuários, grupos e entidades de serviço. A definição de datas de validade para os PATs reduz o risco de perda de tokens ou de longa duração de tokens, o que poderia levar à exfiltração de dados do workspace.

Use o alerta orçamentário para monitorar o uso

Observabilidade : monitore o uso com base em orçamentos importantes para sua organização. Os exemplos de orçamento incluem: projetos, migrações, BU e orçamentos trimestrais ou anuais.

Use as tabelas do sistema para monitorar o uso do site account

Observabilidade : As tabelas do sistema são um armazenamento analítico hospedado em Databricksdos dados operacionais do seu account, incluindo auditoria logs, linhagem de dados e uso faturável. O senhor pode usar tabelas de sistema para observabilidade em seu site account.