Folha de dicas de administração da plataforma
Este artigo tem como objetivo fornecer orientações claras e opinativas para administradores account e workspace sobre as práticas recomendadas. As práticas a seguir devem ser implementadas por administradores account ou workspace para ajudar a otimizar custos, observabilidade, governança de dados e segurança em suas account do Databricks.
Para obter práticas recomendadas de segurança detalhadas, consulte este PDF: Práticas recomendadas de segurança e modelo de ameaças do Databricks GCP.
Melhor prática |
Impacto |
Documentos |
---|---|---|
Habilitar Unity Catalog |
governança de dados: o Unity Catalog fornece recursos centralizados de controle de acesso, auditoria, linhagem e descoberta de dados em todo workspace do Databricks. |
|
Aplicar tags de uso |
Observabilidade: Tenha um mapeamento discreto do uso para categorias relevantes. Atribua e aplique tags para as unidades de negócios, projetos específicos e quaisquer outros usuários ou grupos da sua organização. |
|
Use política de clusters |
Custo: Controle os custos com encerramento automático (para clusters todo-propósito), limitando o tamanho máximo do cluster. Observabilidade: defina Segurança: restrinja o modo de acesso ao cluster para permitir apenas que os usuários criem clusters habilitados para o Unity Catalog para impor permissões de dados. |
|
Usar entidade de serviço para conectar-se a software de terceiros |
Segurança: uma entidade de serviço é um tipo de identidade do Databricks que permite que serviços de terceiros sejam autenticados diretamente no Databricks, e não por meio das credenciais de um usuário individual. Se algo acontecer com as credenciais de um usuário individual, o serviço de terceiros não será interrompido. |
|
Configurar a integração SCIM |
Segurança: em vez de adicionar usuários ao Databricks manualmente, integre-se ao seu provedor de identidade para automatizar o provisionamento e desprovisionamento de usuários. Quando um usuário é removido do provedor de identidade, ele também é automaticamente removido do Databricks. |
|
Gerenciando o controle de acesso com grupos em nível de account |
governança de dados: crie grupos no nível accountpara que você possa controlar em massa o acesso ao workspace, aos recursos e aos dados. Isso evita que você tenha que conceder acesso a tudo a todos os usuários ou conceder permissões específicas a usuários individuais. Você também pode sincronizar grupos do seu provedor de identidade com grupos do Databricks. |
|
Configurar acesso IP para lista branca de IP |
Segurança: as listas de acesso IP impedem que os usuários acessem recursos do Databricks em redes não seguras. Acessar um serviço clouds a partir de uma rede não segura pode representar riscos de segurança para uma empresa, especialmente quando o usuário pode ter autorizado acesso a dados confidenciais ou pessoais Certifique-se de configurar listas de acesso IP para seu console account e workspace. |
|
Use Databricks Secrets ou um gerenciador de segredos de provedor clouds |
Segurança: usar segredos do Databricks permite armazenar com segurança credenciais para fontes de dados externas. Em vez de inserir credenciais diretamente em um Notebook, você pode simplesmente fazer referência a um segredo para autenticar em uma fonte de dados. |
|
Defina datas de expiração para access token pessoal (PATs) |
Segurança: os administradores workspace podem gerenciar PATs para usuários, grupos e entidades de serviço. Definir datas de expiração para PATs reduz o risco de perda de tokens ou tokens de longa duração que podem levar à exfiltração de dados do workspace. |
|
Use o alerta orçamentário para monitorar o uso |
Observabilidade: monitore o uso com base em orçamentos importantes para sua organização. Os exemplos de orçamento incluem: projetos, migrações, BU e orçamentos trimestrais ou anuais. |
|
Use tabelas do sistema para monitorar o uso account |
Observabilidade: as tabelas do sistema são um armazenamento analítico hospedado no Databricks dos dados operacionais da sua account , incluindo logs de auditoria, linhagem de dados e uso faturável. Você pode usar tabelas do sistema para observação em sua account. |