Folha de dicas de administração da plataforma
Este artigo tem como objetivo fornecer orientações claras e opinativas para os administradores de account e workspace sobre as práticas recomendadas. As práticas a seguir devem ser implementadas pelos administradores do account ou workspace para ajudar a otimizar o custo, a observabilidade, a governança de dados e a segurança em seu Databricks account.
Para obter práticas recomendadas de segurança detalhadas, consulte este PDF: Práticas recomendadas de segurança e modelo de ameaças do Databricks GCP.
Melhor prática | Impacto | Documentos |
|---|---|---|
Ativar o Unity Catalog | governança de dados : o site Unity Catalog oferece recursos centralizados de controle de acesso, auditoria, linhagem e descobrimento de dados no espaço de trabalho Databricks. | |
Aplicar tags de uso | Observabilidade : Tenha um mapeamento discreto do uso para categorias relevantes. Atribua e aplique tags para as unidades de negócios, projetos específicos e quaisquer outros usuários ou grupos da sua organização. | |
Usar política de cluster | Custo : Controle de custos com encerramento automático (para clusters todo-propósito), limitando o tamanho máximo do clustering. Observabilidade : Defina | |
Use a entidade de serviço para se conectar a terceiros software | Segurança : Uma entidade de serviço é um tipo de identidade Databricks que permite que serviços de terceiros se autentiquem diretamente em Databricks, e não por meio das credenciais de um usuário individual. Se algo acontecer com as credenciais de um usuário individual, o serviço de terceiros não será interrompido. | |
Configurar a integração do SCIM | Segurança : Em vez de adicionar usuários ao Databricks manualmente, integre-se ao seu provedor de identidade para automatizar o provisionamento e o desprovisionamento de usuários. Quando um usuário é removido do provedor de identidade, ele também é automaticamente removido do Databricks. | |
Gerenciar o controle de acesso com account-level groups | governança de dados : Crie grupos de nível accountpara que o senhor possa controlar em massa o acesso ao espaço de trabalho, ao recurso e aos dados. Isso evita que você tenha que conceder a todos os usuários acesso a tudo ou conceder permissões específicas a usuários individuais. O senhor também pode sincronizar grupos do seu provedor de identidade com os grupos da Databricks. | |
Configurar o acesso IP para a lista branca de IP | Segurança : As listas de acesso IP impedem que os usuários acessem o Databricks recurso em redes não seguras. O acesso a um serviço de nuvem a partir de uma rede não segura pode representar riscos de segurança para uma empresa, especialmente quando o usuário pode ter acesso autorizado a dados confidenciais ou pessoais Certifique-se de configurar listas de acesso IP para o console account e o espaço de trabalho. | |
Use o Databricks Secrets ou o gerenciador de segredos de um provedor de nuvem | Segurança : O uso do Databricks secrets permite que o senhor armazene com segurança as credenciais para fontes de dados externas. Em vez de inserir as credenciais diretamente em um Notebook, o senhor pode simplesmente fazer referência a um segredo para se autenticar em uma fonte de dados. | |
Definir datas de expiração em tokens de acesso pessoal (PATs) | Segurança : os administradores do espaço de trabalho podem gerenciar PATs para usuários, grupos e entidades de serviço. A definição de datas de validade para os PATs reduz o risco de perda de tokens ou de longa duração de tokens, o que poderia levar à exfiltração de dados do workspace. | |
Use o alerta orçamentário para monitorar o uso | Observabilidade : monitore o uso com base em orçamentos importantes para sua organização. Os exemplos de orçamento incluem: projetos, migrações, BU e orçamentos trimestrais ou anuais. | |
Use as tabelas do sistema para monitorar o uso do site account | Observabilidade : As tabelas do sistema são um armazenamento analítico hospedado em Databricksdos dados operacionais do seu account, incluindo auditoria logs, linhagem de dados e uso faturável. O senhor pode usar tabelas de sistema para observabilidade em seu site account. |