Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El objetivo de este artículo es ofrecer a los administradores de cuentas y áreas de trabajo orientaciones claras y fundamentadas sobre las mejores prácticas recomendadas. Los administradores de cuentas o área de trabajo deberían implementar las siguientes prácticas para ayudar a optimizar los costes, la observabilidad, la gobernanza de datos y la seguridad en su cuenta de Azure Databricks.
Para conocer los procedimientos recomendados de seguridad detallados, consulte este PDF: procedimientos recomendados de seguridad de Azure Databricks y el modelo de amenazas.
| Procedimiento recomendado | Impacto | Documentación |
|---|---|---|
| Habilitación del catálogo de Unity | Gobernanza de datos: Unity Catalog proporciona capacidades centralizadas de control de acceso, auditoría, linaje y detección de datos en todas las áreas de trabajo de Azure Databricks. | |
| Aplicación de etiquetas de uso | Observabilidad: Tener un mapeo discreto del uso a las categorías pertinentes. Asigne y aplique etiquetas para las unidades de negocio de su organización, proyectos específicos y cualquier otro usuario o grupo. | |
| Uso de directivas de clúster |
Costo: controle los costos con terminación automática (para clústeres de uso completo), tamaños máximos de clúster y restricciones de tipo de instancia. Observabilidad: conjunto custom_tags en la directiva de clúster para aplicar el etiquetado.Seguridad: Restrinja el modo de acceso al clúster para que sólo permita a los usuarios crear clústeres habilitados para el Catálogo de Unity con el fin de reforzar los permisos de datos. |
|
| Uso de entidades de servicio para conectarse a software de terceros |
Seguridad: Un principal de servicio es un tipo de identidad de Databricks que permite a los servicios externos autenticarse directamente en Databricks, y no a través de las credenciales de un usuario individual. Si ocurre algo con las credenciales de un usuario individual, el servicio de terceros no se interrumpirá. |
|
| Configuración de la administración automática de identidades | Security: En lugar de agregar usuarios y grupos a Azure Databricks manualmente, integre directamente con Microsoft Entra ID para automatizar el aprovisionamiento y desaprovisionamiento de usuarios. Cuando se quita un usuario de Microsoft Entra ID, también se quitan automáticamente de Databricks. La administración automática de identidades está habilitada de forma predeterminada para las cuentas creadas después del 1 de agosto de 2025. | |
| Administración del control de acceso con grupos de nivel de cuenta |
gobernanza de datos: cree grupos de nivel de cuenta para que pueda controlar de forma masiva el acceso a áreas de trabajo, recursos y datos. Esto le ahorra tener que conceder a todos los usuarios acceso a todo o conceder permisos específicos a usuarios individuales. También puede sincronizar grupos de Microsoft Entra ID a grupos de Databricks. |
|
| Configuración del acceso IP para la inclusión en listas blancas de IP |
Security: las listas de acceso IP impiden que los usuarios accedan a los recursos de Azure Databricks en redes no seguras. El acceso a servicios en la nube desde redes no seguras puede suponer riesgos de seguridad para las empresas, sobre todo cuando los usuarios pueden tener acceso autorizado a datos confidenciales o personales Asegúrese de configurar listas de acceso IP para las áreas de trabajo y la consola de la cuenta. |
|
| Utilice Databricks Secrets o un gestor de secretos de proveedor de nube | Seguridad: el uso de secretos de Databricks permite almacenar credenciales de forma segura para orígenes de datos externos. En lugar de introducir las credenciales directamente en un cuaderno, basta con hacer referencia a un secreto para autenticarse en un origen de datos. | |
| Establecer fechas de expiración en tokens de acceso personal (PAT) | Security: Los administradores del área de trabajo pueden gestionar PAT para usuarios, grupos y entidades de servicio. Establecer fechas de expiración para los PAT reduce el riesgo de pérdida de tokens o de tokens de larga duración que podrían conducir a la exfiltración de datos del área de trabajo. | |
| Uso de alertas de presupuesto para supervisar el uso | Observabilidad: supervise el uso en función de los presupuestos importantes para su organización. Entre los ejemplos de presupuesto se incluyen los siguientes: proyecto, migración, BU y presupuestos trimestrales o anuales. | |
| Uso de tablas del sistema para supervisar el uso de la cuenta | Observabilidad: Las tablas del sistema son un almacén analítico alojado por Databricks de los datos operativos de la cuenta, incluidos los registros de auditoría, la proveniencia de datos y el uso facturable. Puede usar tablas del sistema para la observabilidad en toda la cuenta. |