Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel bietet klare und eindeutige Anleitungen für Konto- und Arbeitsbereichsadministrator*innen zu empfohlenen Best Practices. Die folgenden Best Practices sollten von Konto- oder Arbeitsbereichsadministrator*innen angewendet werden, um Kosten, Einblicke, Datengovernance und Sicherheit in ihrem Azure Databricks-Konto zu optimieren.
Detaillierte Best Practices zur Sicherheit finden Sie in der folgenden PDF-Datei: Azure Databricks Security Best Practices and Threat Model (Best Practices und Bedrohungsmodell für Azure Databricks).
| Bewährte Vorgehensweise | Auswirkung | Doktoren |
|---|---|---|
| Aktivieren von Unity Catalog | Datengovernance: Unity Catalog bietet zentralisierte Zugriffssteuerungs-, Überwachungs-, Herkunfts- und Datenermittlungsfunktionen in Azure Databricks-Arbeitsbereichen. | |
| Anwenden von Verwendungstags | Einblick: Weisen Sie relevanten Kategorien eine diskrete Zuordnung der Nutzung zu. Tags für die Geschäftseinheiten Ihrer Organisation, bestimmte Projekte sowie andere Benutzer oder Gruppen zuweisen und durchsetzen. | |
| Verwenden von Clusterrichtlinien |
Kosten: Steuern Sie die Kosten mit automatischer Beendigung (für Allzweckcluster), maximalen Clustergrößen und Einschränkungen in Bezug auf die Instanztypen. Einblicke: Legen Sie custom_tags in Ihrer Clusterrichtlinie fest, um das Tagging zu erzwingen.Sicherheit: Schränken Sie den Clusterzugriffsmodus ein, sodass Benutzer*innen nur für Unity Catalog berechtigte Benutzer*innen erstellen können, um Datenberechtigungen zu erzwingen. |
|
| Verwenden von Dienstprinzipalen zum Herstellen von Verbindungen mit Drittanbietersoftware |
Sicherheit: Ein Dienstprinzipal ist ein Databricks-Identitätstyp, der es Drittanbieterdiensten ermöglicht, sich direkt bei Databricks zu authentifizieren, nicht über die Anmeldeinformationen eines einzelnen Benutzers. Wenn etwas mit den Anmeldeinformationen eines einzelnen Benutzers geschieht, wird der Drittanbieterdienst nicht unterbrochen. |
|
| Einrichten der automatischen Identitätsverwaltung | Sicherheits-: Anstatt Benutzer und Gruppen manuell zu Azure Databricks hinzuzufügen, integrieren Sie sie direkt mit Microsoft Entra ID, um die Benutzerbereitstellung und -deaktivierung zu automatisieren. Wenn ein Benutzer aus der Microsoft Entra-ID entfernt wird, werden sie automatisch auch aus Databricks entfernt. Die automatische Identitätsverwaltung ist standardmäßig für Konten aktiviert, die nach dem 1. August 2025 erstellt wurden. | |
| Verwalten der Zugriffssteuerung mit Gruppen auf Kontoebene |
Datengovernance: Erstellen Sie Gruppen auf Kontoebene, sodass Sie den Zugriff auf Arbeitsbereiche, Ressourcen und Daten per Massenvorgang steuern können. Damit müssen Sie weder allen Benutzer*innen Zugriff auf alles gewähren noch einzelnen Benutzer*innen bestimmte Berechtigungen erteilen. Sie können Gruppen auch von Microsoft Entra ID mit Databricks-Gruppen synchronisieren. |
|
| Einrichten des IP-Zugriffs zum Erstellen von IP-Positivlisten |
Sicherheit: IP-Zugriffslisten verhindern, dass Benutzer*innen auf Azure Databricks-Ressourcen in unsicheren Netzwerken zugreifen. Der Zugriff auf einen Clouddienst über ein ungesichertes Netzwerk kann für ein Unternehmen insbesondere dann Sicherheitsrisiken mit sich bringen, wenn Benutzer*innen autorisierten Zugriff auf vertrauliche oder personenbezogene Daten haben. Richten Sie unbedingt IP-Zugriffslisten für Ihre Kontokonsole und -arbeitsbereiche ein. |
|
| Verwenden von Databricks Secrets oder eines Managers für Cloudanbietergeheimnisse | Sicherheit: Mithilfe von Databricks-Geheimnissen können Sie Anmeldeinformationen für externe Datenquellen sicher speichern. Anstatt Anmeldeinformationen direkt in ein Notebook einzugeben, können Sie einfach auf ein Geheimnis verweisen, um sich bei einer Datenquelle zu authentifizieren. | |
| Festlegen von Ablaufdaten für persönliche Zugriffstoken (PATs) | Sicherheit: Arbeitsbereichsadministrator*innen können persönliche Zugriffstoken (Personal Access Tokens, PATs) für Benutzer*innen, Gruppen und Dienstprinzipale verwalten. Das Festlegen von Ablaufdaten für PATs reduziert das Risiko verlorener Token oder langlebiger Token, die zu Datenexfiltration aus dem Arbeitsbereich führen könnten. | |
| Verwenden von Budgetwarnungen zum Überwachen der Nutzung | Einblick: Überwachen Sie die Nutzung anhand von Budgets, die für Ihre Organisation wichtig sind. Budgetbeispiele sind: Projekt, Migration, BU und vierteljährliche oder jährliche Budgets. | |
| Verwenden von Systemtabellen zum Überwachen der Kontonutzung | Observability: Systemtabellen sind ein vom Databricks gehosteter analytischer Speicher der Betriebsdaten Ihres Kontos, einschließlich Überwachungsprotokolle, Datenlinie und abrechnungsfähiger Nutzung. Sie können Systemtabellen für Einblicke über Ihr gesamtes Konto hinweg verwenden. |