Administración de listas de acceso IP
En esta guía se presentan las listas de acceso IP para las áreas de trabajo y la cuenta de Azure Databricks.
Introducción a las listas de acceso IP
Nota:
Esta característica requiere el plan Premium.
De manera predeterminada, los usuarios pueden conectarse a Azure Databricks desde cualquier equipo o dirección IP. Las listas de acceso IP le habilitan restringir el acceso a las áreas de trabajo y a la cuenta de Azure Databricks en base a la dirección IP de un usuario. Por ejemplo, puede configurar listas de acceso IP para permitir que los usuarios solo se conecten a través de redes corporativas existentes con un perímetro seguro. Si la red VPN interna está autorizada, los usuarios remotos o que viajan pueden usar la VPN para conectarse a la red corporativa. Si un usuario intenta conectarse a Azure Databricks desde una red no segura, como desde una cafetería, se bloquea el acceso.
Existen dos características de la lista de acceso de IP:
Listas de acceso IP para la consola de la cuenta (Versión preliminar pública): Los administradores de cuentas pueden configurar listas de acceso IP para la consola de cuenta para permitir a los usuarios conectarse a la interfaz de usuario de la consola de cuenta y a las API de REST de nivel de cuenta solo a través de un conjunto de direcciones IP aprobadas. Los propietarios y administradores de cuentas pueden usar una interfaz de usuario de la consola de la cuenta o una API de REST para configurar las direcciones IP y las subredes permitidas y bloqueadas. Consulte Listas de acceso de IP para la consola de la cuenta.
Listas de acceso IP para áreas de trabajo: Los administradores del área de trabajo pueden configurar listas de acceso IP para áreas de trabajo de Azure Databricks para permitir que los usuarios se conecten al área de trabajo o a las API de nivel de área de trabajo solo a través de un conjunto de direcciones IP aprobadas. Los administradores del área de trabajo usan una API de REST para configurar las direcciones IP permitidas y bloqueadas y las subredes. Consulte Configurar listas de acceso IP para áreas de trabajo.
Nota:
Si usa Private Link, tenga en cuenta que las listas de acceso IP solo se aplican a las solicitudes a través de Internet (direcciones IP públicas). Las direcciones IP privadas del tráfico de Private Link no se pueden bloquear mediante listas de acceso IP. Para controlar quién puede acceder a Azure Databricks usando Private Link, puede comprobar qué puntos de conexión privados se han creado. Consulte Habilitar las conexiones de back-end y front-end de Azure Private Link.
¿Cómo se comprueba el acceso?
La característica de listas de acceso IP le permite configurar listas de permitidos y listas de bloqueos para la consola y las áreas de trabajo de la cuenta de Azure Databricks:
- Permitir listas contienen el conjunto de direcciones IP en la red pública de Internet que se permite el acceso. Permita el acceso a varias direcciones IP explícitamente o como subredes enteras (por ejemplo,
216.58.195.78/28). - Listas de bloqueo contienen las direcciones IP o subredes que se van a bloquear, incluso si se incluyen en la lista de permitidos. Puede usar esta característica si un intervalo de direcciones IP permitido incluye un intervalo más pequeño de direcciones IP de infraestructura que, en la práctica, están fuera del perímetro de red seguro real.
Cuando se intenta realizar una conexión:
- En primer lugar, se comprueban todas las listas de bloqueados. Si la dirección IP de conexión coincide con alguna lista de bloqueados, se rechaza la conexión.
- Si las listas de bloqueados no rechazaron la conexión, la dirección IP se compara con las listas de permitidos. Si hay al menos una lista de permitidos, la conexión solo se permite si la dirección IP coincide con una lista de permitidos. Si no hay listas permitidas, se permiten todas las direcciones IP.
Si la característica está deshabilitada, se permite todo el acceso a su cuenta o área de trabajo.
Para todas las listas de permitidos y bloqueados combinadas, la consola de la cuenta admite un máximo de 1000 valores IP/CIDR, donde un CIDR cuenta como un valor único.
Los cambios en las listas de acceso IP pueden tardar unos minutos en surtir efecto.