Zarządzanie listami dostępu do adresów IP

  • Artykuł

W tym przewodniku przedstawiono listy dostępu do adresów IP dla konta i obszarów roboczych usługi Azure Databricks.

Omówienie list dostępu do adresów IP

Uwaga

Ta funkcja wymaga planu Premium.

Domyślnie użytkownicy mogą łączyć się z usługą Azure Databricks z dowolnego komputera lub adresu IP. Listy dostępu do adresów IP umożliwiają ograniczenie dostępu do konta i obszarów roboczych usługi Azure Databricks na podstawie adresu IP użytkownika. Można na przykład skonfigurować listy dostępu ip, aby umożliwić użytkownikom łączenie się tylko za pośrednictwem istniejących sieci firmowych z bezpiecznym obwodem. Jeśli wewnętrzna sieć VPN jest autoryzowana, użytkownicy zdalni lub podróżujący mogą używać sieci VPN do łączenia się z siecią firmową. Jeśli użytkownik próbuje nawiązać połączenie z usługą Azure Databricks z niezabezpieczonej sieci, takiej jak z kawiarni, dostęp jest zablokowany.

Istnieją dwie funkcje listy dostępu do adresów IP:

  • Listy dostępu do adresów IP dla konsoli konta (publiczna wersja zapoznawcza):administratorzy kont mogą skonfigurować listy dostępu ip dla konsoli konta, aby umożliwić użytkownikom łączenie się z interfejsem użytkownika konsoli konta i interfejsami API REST na poziomie konta tylko za pośrednictwem zestawu zatwierdzonych adresów IP. Właściciele kont i administratorzy kont mogą używać interfejsu użytkownika konsoli konta lub interfejsu API REST do konfigurowania dozwolonych i zablokowanych adresów IP i podsieci. Zobacz Konfigurowanie list dostępu do adresów IP dla konsoli konta.

  • Listy dostępu do adresów IP dla obszarów roboczych: Administratorzy obszaru roboczego mogą konfigurować listy dostępu ip dla obszarów roboczych usługi Azure Databricks, aby umożliwić użytkownikom łączenie się z interfejsami API na poziomie obszaru roboczego lub obszaru roboczego tylko za pośrednictwem zestawu zatwierdzonych adresów IP. Administratorzy obszaru roboczego używają interfejsu API REST do konfigurowania dozwolonych i zablokowanych adresów IP i podsieci. Zobacz Konfigurowanie list dostępu do adresów IP dla obszarów roboczych.

Uwaga

Jeśli używasz usługi Private Link, listy dostępu do adresów IP mają zastosowanie tylko do żądań za pośrednictwem Internetu (publicznych adresów IP). Listy dostępu do adresów IP nie mogą blokować prywatnych adresów IP z ruchu usługi Private Link. Aby kontrolować, kto może uzyskiwać dostęp do usługi Azure Databricks przy użyciu łącza prywatnego, możesz sprawdzić, które prywatne punkty końcowe zostały utworzone, zobacz Włączanie połączeń zaplecza i frontonu usługi Azure Private Link.

Jak jest sprawdzany dostęp?

Funkcja listy dostępu do adresów IP umożliwia skonfigurowanie list dozwolonych i list zablokowanych dla konsoli konta i obszarów roboczych usługi Azure Databricks:

  • Listy dozwolonych zawierają zestaw adresów IP w publicznym Internecie, do którego jest dozwolony dostęp. Zezwalaj jawnie na wiele adresów IP lub jako całe podsieci (na przykład 216.58.195.78/28).
  • Listy blokowe zawierają adresy IP lub podsieci, które mają być blokowane, nawet jeśli znajdują się na liście dozwolonych. Ta funkcja może być używana, jeśli dozwolony zakres adresów IP obejmuje mniejszy zakres adresów IP infrastruktury, które w praktyce znajdują się poza rzeczywistym obwodem bezpiecznej sieci.

Po podjęciu próby nawiązania połączenia:

  1. Najpierw sprawdzane są wszystkie listy blokowe. Jeśli adres IP połączenia jest zgodny z dowolną listą bloków, połączenie zostanie odrzucone.
  2. Jeśli połączenie nie zostało odrzucone przez listy zablokowanych, adres IP jest porównywany z listami dozwolonych. Jeśli istnieje co najmniej jedna lista dozwolonych, połączenie jest dozwolone tylko wtedy, gdy adres IP jest zgodny z listą dozwolonych. Jeśli nie ma list dozwolonych, wszystkie adresy IP są dozwolone.

Jeśli ta funkcja jest wyłączona, cały dostęp jest dozwolony dla Twojego konta lub obszaru roboczego.

IP access list flow diagram

W przypadku wszystkich połączonych list dozwolonych i list blokowych konsola konta obsługuje maksymalnie 1000 wartości IP/CIDR, gdzie jedna wartość CIDR jest liczone jako pojedyncza wartość.

Wprowadzenie zmian w listach dostępu do adresów IP może potrwać kilka minut.