Gerenciar listas de acesso IP
Este guia apresenta listas de acesso IP para a conta e espaços de trabalho do Azure Databricks.
Visão geral das listas de acesso IP
Nota
Este recurso requer o plano Premium.
Por padrão, os usuários podem se conectar ao Azure Databricks de qualquer computador ou endereço IP. As listas de acesso IP permitem que você restrinja o acesso à sua conta do Azure Databricks e espaços de trabalho com base no endereço IP de um usuário. Por exemplo, você pode configurar listas de acesso IP para permitir que os usuários se conectem somente por meio de redes corporativas existentes com um perímetro seguro. Se a rede VPN interna for autorizada, os usuários remotos ou viajando poderão usar a VPN para se conectar à rede corporativa. Se um usuário tentar se conectar ao Azure Databricks a partir de uma rede insegura, como de uma cafeteria, o acesso será bloqueado.
Há dois recursos de lista de acesso IP:
Listas de acesso IP para o console de conta (Visualização pública): os administradores de conta podem configurar listas de acesso IP para o console de conta para permitir que os usuários se conectem à interface do usuário do console de conta e APIs REST no nível da conta somente por meio de um conjunto de endereços IP aprovados. Os proprietários e administradores de contas podem usar uma interface do usuário do console de conta ou uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para o console da conta.
Listas de acesso IP para espaços de trabalho: os administradores de espaços de trabalho podem configurar listas de acesso IP para espaços de trabalho do Azure Databricks para permitir que os usuários se conectem ao espaço de trabalho ou APIs no nível do espaço de trabalho somente por meio de um conjunto de endereços IP aprovados. Os administradores do espaço de trabalho usam uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para espaços de trabalho.
Nota
Se utilizar o Private Link, as listas de acesso IP aplicam-se apenas a pedidos através da Internet (endereços IP públicos). Os endereços IP privados do tráfego de Link Privado não podem ser bloqueados por listas de acesso IP. Para controlar quem pode acessar o Azure Databricks usando o link privado, você pode verificar quais pontos de extremidade privados foram criados Consulte Habilitar conexões back-end e front-end do Azure Private Link.
Como é verificado o acesso?
O recurso de listas de acesso IP permite configurar listas de permissões e listas de bloqueio para o console de conta e espaços de trabalho do Azure Databricks:
- As listas de permissões contêm o conjunto de endereços IP na Internet pública cujo acesso é permitido. Permitir vários endereços IP explicitamente ou como sub-redes inteiras (por exemplo
216.58.195.78/28). - As listas de bloqueios contêm os endereços IP ou sub-redes a bloquear, mesmo que estejam incluídos na lista de permissões. Você pode usar esse recurso se um intervalo de endereços IP permitido incluir um intervalo menor de endereços IP de infraestrutura que, na prática, estão fora do perímetro de rede seguro real.
Quando uma conexão é tentada:
- Primeiro, todas as listas de bloqueio são verificadas. Se o endereço IP da conexão corresponder a qualquer lista de bloqueios, a conexão será rejeitada.
- Se a conexão não foi rejeitada pelas listas de bloqueio, o endereço IP é comparado com as listas de permissões. Se houver pelo menos uma lista de permissões, a conexão só será permitida se o endereço IP corresponder a uma lista de permissões. Se não houver listas de permissões, todos os endereços IP serão permitidos.
Se o recurso estiver desativado, todo o acesso será permitido à sua conta ou espaço de trabalho.
Para todas as listas de permissões e listas de bloqueios combinadas, o console da conta suporta um máximo de 1000 valores de IP/CIDR, onde um CIDR conta como um único valor.
As alterações nas listas de acesso IP podem levar alguns minutos para entrar em vigor.