本文旨在针对建议的最佳做法为帐户和工作区管理员提供明确和有意见的指导。 帐户或工作区管理员应实施以下做法,以帮助优化其Azure Databricks帐户的成本、可观测性、数据管理和安全性。
有关深入的安全最佳做法,请参阅 Databricks 安全与信任中心 的安全最佳做法 。
| 最佳做法 | 影响 | 文档 |
|---|---|---|
| 启用 Unity Catalog | Data governance:Unity 目录跨Azure Databricks工作区提供集中式访问控制、审核、世系和数据发现功能。 | |
| 使用群集策略 |
成本:利用自动终止(用于全用途群集)、最大群集大小和实例类型限制来控制成本。 可观测性:在群集策略中设置 custom_tags 来强制实施标记。安全:将群集访问模式限制为仅允许用户创建启用了 Unity Catalog 的群集以强制实施数据权限。 |
|
| 使用服务主体连接到第三方软件 |
安全:服务主体是一种 Databricks 标识类型,允许第三方服务直接向 Databricks 进行身份验证,而不是通过单个用户的凭据进行身份验证。 如果单个用户的凭据出现问题,则第三方服务不会中断。 |
|
| 设置自动标识管理 | Security:无需手动将用户和组添加到Azure Databricks,而是直接与Microsoft Entra ID集成,以自动执行用户预配和取消预配。 从Microsoft Entra ID中删除用户后,也会从 Databricks 中自动将其删除。 默认情况下,为在 2025 年 8 月 1 日之后创建的帐户启用自动标识管理。 | |
| 使用帐户级别组管理访问控制 |
数据治理:创建帐户级别组,以便可以批量控制对工作区、资源和数据的访问权限。 这样就不用为所有用户授予对所有内容的访问权限,或为单个用户授予特定权限。 还可以将组从 Microsoft Entra ID 同步到 Databricks 组。 |
|
| 为 IP 允许列表设置 IP 访问 |
Security:IP 访问列表阻止用户访问不安全网络中Azure Databricks资源。 从不安全的网络访问云服务会给企业带来安全风险,尤其是在用户可能已获得授权访问敏感数据或个人数据的情况下 请确保为帐户控制台和工作区设置 IP 访问列表。 |
|
| 使用 Databricks 机密或云提供商机密管理器 | 安全:使用 Databricks 机密可以安全地存储外部数据源的凭据。 无需直接将凭据输入到笔记本中,只需引用机密即可向数据源进行身份验证。 | |
| 设置个人访问令牌 (PAT) 的过期日期 | 安全:工作区管理员可以管理用户、组和服务主体的 PAT。 设置 PAT 的过期日期可以降低丢失令牌的风险,或降低可能导致从工作区渗透数据的长效令牌的风险。 | |
| 使用预算警报监视使用情况 | 可观测性:根据组织的重要预算监视使用情况。 预算示例包括:项目、迁移、BU 和季度或年度预算。 |