Správa přístupových seznamů IP adres
Tato příručka představuje přístupové seznamy IP adres pro účet a pracovní prostory Azure Databricks.
Přehled přístupových seznamů IP adres
Poznámka:
Tato funkce vyžaduje plán Premium.
Ve výchozím nastavení se uživatelé můžou k Azure Databricks připojit z libovolného počítače nebo IP adresy. Seznamy přístupu IP umožňují omezit přístup k vašemu účtu a pracovním prostorům Azure Databricks na základě IP adresy uživatele. Můžete například nakonfigurovat přístupové seznamy IP adres tak, aby se uživatelé mohli připojovat pouze prostřednictvím stávajících podnikových sítí se zabezpečeným hraničním zařízením. Pokud je interní síť VPN autorizovaná, můžou se uživatelé, kteří vzdáleně nebo cestují, připojit k podnikové síti pomocí sítě VPN. Pokud se uživatel pokusí připojit k Azure Databricks ze nezabezpečené sítě, například z kavárny, přístup se zablokuje.
Existují dvě funkce přístupového seznamu IP adres:
Přístupové seznamy IP adres pro konzolu účtu (Public Preview): Správci účtů můžou pro konzolu účtu nakonfigurovat seznamy přístupu IP, aby se uživatelé mohli připojit k uživatelskému rozhraní konzoly účtů a rozhraním REST API na úrovni účtu pouze prostřednictvím sady schválených IP adres. Vlastníci účtů a správci účtů můžou ke konfiguraci povolených a blokovaných IP adres a podsítí použít uživatelské rozhraní konzoly účtu nebo rozhraní REST API. Viz Konfigurace přístupových seznamů IP adres pro konzolu účtu.
Přístupové seznamy IP adres pro pracovní prostory: Správci pracovního prostoru můžou nakonfigurovat přístupové seznamy IP adres pro pracovní prostory Azure Databricks, aby se uživatelé mohli připojit k pracovnímu prostoru nebo rozhraním API na úrovni pracovního prostoru jenom prostřednictvím sady schválených IP adres. Správci pracovních prostorů používají rozhraní REST API ke konfiguraci povolených a blokovaných IP adres a podsítí. Viz Konfigurace přístupových seznamů IP adres pro pracovní prostory.
Poznámka:
Pokud používáte službu Private Link, přístupové seznamy IP adres se vztahují pouze na požadavky přes internet (veřejné IP adresy). Privátní IP adresy z provozu služby Private Link nelze blokovat seznamy přístupu IP. Pokud chcete určit, kdo má přístup k Azure Databricks pomocí privátního propojení, můžete zkontrolovat, které privátní koncové body byly vytvořeny, viz povolení back-endových a front-endových připojení Azure Private Linku.
Jak je zaškrtnuto přístup?
Funkce přístupových seznamů IP adres umožňuje konfigurovat seznamy povolených a blokovaných seznamů pro konzolu a pracovní prostory účtu Azure Databricks:
- Seznamy povolených adres obsahují sadu IP adres na veřejném internetu, které mají povolený přístup. Povolit více IP adres explicitně nebo jako celé podsítě (například
216.58.195.78/28). - Seznamy bloků obsahují IP adresy nebo podsítě, které se mají blokovat, i když jsou zahrnuté v seznamu povolených. Tuto funkci můžete použít, pokud povolený rozsah IP adres zahrnuje menší rozsah IP adres infrastruktury, které jsou v praxi mimo skutečnou zabezpečenou síťovou hraniční síť.
Při pokusu o připojení:
- Nejprve jsou zaškrtnuty všechny seznamy bloků. Pokud IP adresa připojení odpovídá libovolnému seznamu blokovaných adres, připojení se odmítne.
- Pokud se připojení neodmítalo seznamy blokových adres, porovná se IP adresa se seznamy povolených. Pokud existuje aspoň jeden seznam povolených, je připojení povolené jenom v případě, že IP adresa odpovídá seznamu povolených. Pokud žádné seznamy povolených nejsou, jsou povoleny všechny IP adresy.
Pokud je tato funkce zakázaná, je povolený veškerý přístup k vašemu účtu nebo pracovnímu prostoru.
Pro všechny seznamy povolených a blokových seznamů v kombinaci konzola účtu podporuje maximálně 1000 hodnot IP/CIDR, kde se jedna ciDR počítá jako jedna hodnota.
Změny přístupových seznamů IP adres mohou trvat několik minut, než se projeví.