Gerenciar listas de acesso a IP
Este guia apresenta listas de acesso IP para a conta e workspaces do Azure Databricks.
Visão geral das listas de acesso IP
Observação
Esse recurso requer o plano Premium.
Por padrão, os usuários podem se conectar ao Azure Databricks de qualquer computador ou endereço IP. As listas de acesso a IP permitem restringir o acesso à sua conta e workspaces do Azure Databricks com base no endereço IP de um usuário. Por exemplo, você pode configurar listas de acesso IP para permitir que os usuários se conectem somente por meio de redes corporativas existentes com um perímetro seguro. Se a rede VPN interna estiver autorizada, os usuários que estiverem remotos ou viajando poderão usar a VPN para se conectar à rede corporativa. Se um usuário tentar se conectar ao Azure Databricks de uma rede insegura, como em uma cafeteria, o acesso será bloqueado.
Há dois recursos de lista de acesso por IP:
Listas de acesso IP para o console da conta (VisualizaçãoPública): os administradores de conta podem configurar listas de acesso IP para o console da conta para permitir que os usuários se conectem à interface do usuário do console da conta e às APIs REST no nível da conta apenas por meio de um conjunto de endereços IP aprovados. Proprietários de contas e administradores de contas podem usar uma interface de usuário do console da conta ou uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para o console da conta.
Listas de acesso IP para workspaces: os administradores do workspace podem configurar listas de acesso IP para workspaces do Azure Databricks para permitir que os usuários se conectem às APIs no nível do workspace ou do workspace apenas por meio de um conjunto de endereços IP aprovados. Os administradores do workspace usam uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para workspaces.
Observação
Se você usar o Link Privado, as listas de acesso a IP se aplicam somente a solicitações pela Internet (endereços IP públicos). Endereços IP privados de tráfego de link privado não podem ser bloqueados pelas listas de acesso IP. Para controlar quem pode acessar o Azure Databricks usando o link privado, verifique quais pontos de extremidade privados foram criados. Consulte Habilitar conexões de back-end e front-end do Link Privado do Azure.
Como o acesso é verificado?
O recurso listas de acesso IP permite que você configure listas de permissões e listas de blocos para o console de conta do Azure Databricks e workspaces:
- As listas de permissão contêm o conjunto de endereços IP na Internet pública que têm permissão de acesso. Permitir vários endereços IP explicitamente ou como sub-redes inteiras (por exemplo
216.58.195.78/28). - As listas de blocos contêm os endereços IP ou as sub-redes a serem bloqueadas, mesmo que estejam incluídas na lista de permissões. Você usaria esse recurso se um intervalo de endereços IP permitido incluísse um intervalo menor de endereços IP de infraestrutura que, na prática, estão fora do perímetro de rede seguro real.
Quando ocorre uma tentativa de conexão:
- Primeiro, todas as listas de bloqueio são verificadas. Se o endereço IP da conexão corresponder a qualquer lista de bloqueio, a conexão será rejeitada.
- Se a conexão não tiver sido rejeitada por listas de bloqueio, o endereço IP será comparado com as listas de permissões. Se houver pelo menos uma lista de permissões, a conexão será permitida somente se o endereço IP corresponder a uma lista de permissões. Se não houver listas de permissões, todos os endereços IP serão permitidos.
Se o recurso estiver desabilitado, todo o acesso será permitido à sua conta ou workspace.
Para todas as listas de permissões e listas de blocos combinadas, o console da conta dá suporte a um máximo de 1000 valores de IP/CIDR, em que uma CIDR conta como um único valor.
As alterações nas listas de acesso a IP podem levar alguns minutos para entrar em vigor.