Gestire gli elenchi di accesso IP
Questa guida presenta gli elenchi di accesso IP per l'account e le aree di lavoro di Azure Databricks.
Panoramica degli elenchi di accesso IP
Nota
Questa funzionalità richiede il piano Premium.
Per impostazione predefinita, gli utenti possono connettersi ad Azure Databricks da qualsiasi computer o indirizzo IP. Gli elenchi di accesso IP consentono di limitare l'accesso all'account e alle aree di lavoro di Azure Databricks in base all'indirizzo IP di un utente. Ad esempio, è possibile configurare elenchi di accesso IP per consentire agli utenti di connettersi solo tramite reti aziendali esistenti con un perimetro sicuro. Se la rete VPN interna è autorizzata, gli utenti remoti o in viaggio possono usare la VPN per connettersi alla rete aziendale. Se un utente tenta di connettersi ad Azure Databricks da una rete non sicura, ad esempio da un bar, l'accesso viene bloccato.
Esistono due funzionalità dell'elenco di accesso IP:
Elenchi di accesso IP per la console dell'account (anteprima pubblica): gli amministratori dell'account possono configurare gli elenchi di accesso IP per la console dell'account per consentire agli utenti di connettersi all'interfaccia utente della console account e alle API REST a livello di account solo tramite un set di indirizzi IP approvati. I proprietari degli account e gli amministratori dell'account possono usare un'interfaccia utente della console dell'account o un'API REST per configurare indirizzi IP e subnet consentiti e bloccati. Vedere Configurare gli elenchi di accesso IP per la console dell'account.
Elenchi di accesso IP per le aree di lavoro: gli amministratori dell'area di lavoro possono configurare elenchi di accesso IP per le aree di lavoro di Azure Databricks per consentire agli utenti di connettersi all'area di lavoro o alle API a livello di area di lavoro solo tramite un set di indirizzi IP approvati. Gli amministratori dell'area di lavoro usano un'API REST per configurare indirizzi IP consentiti e bloccati e subnet. Vedere Configurare gli elenchi di accesso IP per le aree di lavoro.
Nota
Se si usa collegamento privato, gli elenchi di accesso IP si applicano solo alle richieste tramite Internet (indirizzi IP pubblici). Gli indirizzi IP privati da collegamento privato traffico non possono essere bloccati dagli elenchi di accesso IP. Per controllare chi può accedere ad Azure Databricks usando un collegamento privato, è possibile controllare quali endpoint privati sono stati creati, vedere Abilitare le connessioni back-end e front-end collegamento privato di Azure.
Come viene controllato l'accesso?
La funzionalità Elenchi di accesso IP consente di configurare elenchi di indirizzi consentiti e elenchi di blocchi per la console e le aree di lavoro dell'account di Azure Databricks:
- Gli elenchi consenti contengono il set di indirizzi IP nella rete Internet pubblica a cui è consentito l'accesso. Consentire più indirizzi IP in modo esplicito o come intere subnet , ad esempio
216.58.195.78/28. - Gli elenchi di blocchi contengono gli indirizzi IP o le subnet da bloccare, anche se sono inclusi nell'elenco elementi consentiti. È possibile usare questa funzionalità se un intervallo di indirizzi IP consentiti include un intervallo più piccolo di indirizzi IP dell'infrastruttura che in pratica si trovano all'esterno del perimetro di rete sicuro effettivo.
Quando viene tentata una connessione:
- Vengono prima controllati tutti gli elenchi di blocchi. Se l'indirizzo IP della connessione corrisponde a un elenco di blocchi, la connessione viene rifiutata.
- Se la connessione non è stata rifiutata da elenchi di blocchi, l'indirizzo IP viene confrontato con gli elenchi di indirizzi consentiti. Se è presente almeno un elenco di elementi consentiti, la connessione è consentita solo se l'indirizzo IP corrisponde a un elenco di indirizzi consentiti. Se non sono presenti elenchi consentiti, sono consentiti tutti gli indirizzi IP.
Se la funzionalità è disabilitata, è consentito l'accesso all'account o all'area di lavoro.
Per tutti gli elenchi consentiti e gli elenchi di blocchi combinati, la console dell'account supporta un massimo di 1000 valori IP/CIDR, dove un CIDR viene conteggiato come singolo valore.
L'applicazione delle modifiche apportate agli elenchi di accesso IP può richiedere alcuni minuti.