安全概述

本文概述了安全控制和配置砖的部署和管理账户和工作区。确保您的数据信息,请参阅数据治理的最佳实践。

并不是所有的安全功能都可用在所有定价层。看到砖AWS定价的页面学习功能使定价计划。

请注意

本文主要关注最近(E2)版本砖的平台。bob体育客户端下载这里描述的一些特性可能不支持遗留部署没有迁移到E2平台。bob体育客户端下载

账户和工作区

在砖,工作空间砖在云中部署,作为统一的环境,一组指定的用户使用访问所有的砖吗资产。您的组织可以选择多个工作区或只有一个,这取决于您的需要。

一个砖账户代表一个单一的实体为目的的计费和支持。一个帐户可以包括多个工作区。

账户管理员处理一般账户管理和工作空间管理员管理个人工作区在帐户的设置和特性。学习更BOB低频彩多关于砖管理员的,看到的砖管理指南。管理员可以部署工作区与安全配置包括:

在自己的VPC部署一个工作区

一个AWS的虚拟私有云(VPC)允许您提供一个逻辑上的孤立部分AWS云,您可以启动AWS资源在一个虚拟网络。VPC是砖集群的网络位置。默认情况下,砖创建并管理的VPC砖工作区。

你可以提供你自己的VPC主机砖集群,使您保持更多的控制自己的AWS帐户并限制输出连接。要利用customer-managed VPC,您必须指定一个VPC当你第一次创建砖工作区。你可以在工作空间共享vpc,但你不能在工作区之间共享子网。有关更多信息,请参见Customer-managed VPC。

使AWS PrivateLink

AWS PrivateLink提供私人连接AWS vpc AWS服务和本地网络没有向公众公开交通网络。砖支持PrivateLink连接两个连接类型:

前端(用户空间):前端PrivateLink连接允许用户连接到砖web应用程序中,REST API,砖API在VPC接口连接的端点。
后端(数据平面控制平面):这使得私人从砖集群运行时连接到砖工作空间的核心服务。

有关更多信息,请参见使AWS PrivateLink。

使customer-managed密钥进行加密

砖支持添加customer-managed帮助保护和控制对数据的访问的关键。有三个customer-managed主要特点为不同类型的数据:

Customer-managed密钥管理服务:管理服务中的数据砖控制平面是加密的。你可以添加一个customer-managed关键管理服务,帮助保护和访问控制类型的加密数据如下:
- 笔记本源文件存储在控制飞机。
- 笔记本电脑笔记本的结果存储在控制飞机。
- 秘密存储秘密管理器api。
- 砖SQL查询和查询历史。
- 个人访问令牌或其他凭证用于设置Git与砖回购的集成。

有关更多信息,请参见Customer-managed密钥管理服务。

Customer-managed键工作区存储:您可以配置自己的密钥来加密数据的Amazon S3 bucket AWS帐户指定当你创建工作区。您可以选择使用相同的密钥来加密您的集群的EBS卷。有关更多信息,请参见Customer-managed键工作区存储

更多细节customer-managed关键特性在砖保护不同类型的数据,看看Customer-managed密钥进行加密。

身份

用户、组和服务主体在砖账户和工作区配置管理员。如何安全地配置身份信息的砖,明白了身份的最佳实践。

安全API访问

对于REST API认证,您可以使用内置的可撤销的砖个人访问令牌。您可以创建个人访问令牌在web应用程序用户界面或使用令牌API。

工作区管理员可以使用令牌管理API审查当前数据砖个人访问令牌,删除令牌,并设置新的令牌的最大生命周期的工作区。您可以使用相关的权限API控制哪些用户可以创建和使用令牌访问工作区REST api。

请注意

而砖强烈建议使用令牌,砖AWS用户也可以使用他们的砖的用户名和密码访问REST api(本地身份验证)。你grant和revoke能力为特定用户使用本地身份验证使用密码访问控制。

IP访问列表

验证用户身份证明,但是它不执行用户的网络位置。从一个不安全的网络访问云服务带来的安全风险,特别是当用户授权访问敏感数据或个人数据。与IP访问列表,您可以配置数据砖工作区,这样用户连接到服务只有通过现有的网络安全的周长。

工作区管理员可以指定IP地址(或CIDR范围)的公共网络上被允许访问。这些IP地址可能属于出口网关或特定的用户环境。您还可以指定IP地址和子网。有关详细信息,请参见IP访问列表。

您还可以使用PrivateLink屏蔽所有公共互联网访问数据砖工作区。

审计日志和使用

砖提供审计日志的活动由砖用户,允许您监控详细的使用模式。您可以配置审计和使用两种类型的日志:

计费使用日志交付:自动交付使用日志AWS S3 bucket。看到交付和访问计费使用日志。
审计日志交付:自动交付审计日志AWS S3 bucket。看到配置审计日志记录。

集群政策

您可以使用集群政策执行特定集群设置,比如实例类型,数量的节点,连接库,并计算成本,并显示为不同的用户级别不同集群创建接口。管理集群配置使用策略可以帮助实施普遍的治理控制和管理成本的计算基础设施。有关更多信息,请参见管理集群政策。

访问控制列表

在砖,可以使用访问控制列表(acl)配置权限访问对象,例如:笔记本,实验中,模型、集群、就业、仪表板、查询、和SQL仓库。所有管理员用户可以管理访问控制列表,用户可以得到委托权限管理访问控制列表。看到访问控制。

信息管理对组织的数据的访问,看到的数据治理指南。

秘密

您可以使用砖秘密存储凭证和参考笔记本和就业。一个秘密是一个键值对存储机密材料外部数据源或其他计算,内键名称唯一秘密的范围。千万不要硬编码秘密或者存储在纯文本。

你使用CLI或REST API创建的秘密,但是你必须使用秘密效用(dbutils.secrets)在笔记本或读你的秘密工作。

或者,您可以存储秘密AWS秘密经理,创建一个访问的秘密我的作用,然后将这个角色添加到集群中我的角色。看到S3访问配置实例配置文件。

有关如何使用砖机密的信息,明白了保密管理。

自动化模板选项

使用砖REST api,你的一些安全配置任务可以自动使用起程拓殖或AWS快速启动(CloudFormation)模板。这些模板可以用来配置和部署新工作区以及更新行政配置现有的工作空间。特别是对于大公司的工作区,使用模板可以快速且一致的自动配置。

看到使用模板创建自动化工作空间。

BOB低频彩

这里有一些资源来帮助您构建一个全面的安全解决方案,满足您的组织的需要:

的砖安全和信任中心,它提供了信息安全的方式是每层砖Lakehouse平台。bob体育客户端下载
安全最佳实践,它提供了一个清单的安全实践,注意事项和模式可以适用于您的部署,从我们的企业业务。
数据治理的最佳实践实现数据治理组织控制。