Hantera IP-åtkomstlistor

Den här guiden introducerar IP-åtkomstlistor för Azure Databricks-kontot och arbetsytor.

Översikt över IP-åtkomstlistor

Kommentar

Den här funktionen kräver Premium-planen.

Som standard kan användare ansluta till Azure Databricks från valfri dator eller IP-adress. Med IP-åtkomstlistor kan du begränsa åtkomsten till ditt Azure Databricks-konto och dina arbetsytor baserat på en användares IP-adress. Du kan till exempel konfigurera IP-åtkomstlistor så att användare endast kan ansluta via befintliga företagsnätverk med en säker perimeter. Om det interna VPN-nätverket är auktoriserat kan användare som är fjärranslutna eller reser använda VPN för att ansluta till företagsnätverket. Om en användare försöker ansluta till Azure Databricks från ett osäkert nätverk, till exempel från ett kafé, blockeras åtkomsten.

Det finns två funktioner för IP-åtkomstlista:

  • IP-åtkomstlistor för kontokonsolen (offentlig förhandsversion): Kontoadministratörer kan konfigurera IP-åtkomstlistor för kontokonsolen så att användare endast kan ansluta till kontokonsolens användargränssnitt och REST-API:er på kontonivå via en uppsättning godkända IP-adresser. Kontoägare och kontoadministratörer kan använda ett användargränssnitt för kontokonsolen eller ett REST-API för att konfigurera tillåtna och blockerade IP-adresser och undernät. Se Konfigurera IP-åtkomstlistor för kontokonsolen.

  • IP-åtkomstlistor för arbetsytor: Arbetsyteadministratörer kan konfigurera IP-åtkomstlistor för Azure Databricks-arbetsytor så att användare endast kan ansluta till arbetsytans eller arbetsytans API:er via en uppsättning godkända IP-adresser. Arbetsyteadministratörer använder ett REST-API för att konfigurera tillåtna och blockerade IP-adresser och undernät. Se Konfigurera IP-åtkomstlistor för arbetsytor.

Kommentar

Om du använder Private Link gäller IP-åtkomstlistor endast för begäranden via Internet (offentliga IP-adresser). Privata IP-adresser från Private Link-trafik kan inte blockeras av IP-åtkomstlistor. Om du vill styra vem som kan komma åt Azure Databricks med hjälp av en privat länk kan du kontrollera vilka privata slutpunkter som har skapats i Aktivera Azure Private Link-backend- och klientdelsanslutningar.

Hur kontrolleras åtkomsten?

Med funktionen IP-åtkomstlistor kan du konfigurera tillåtna listor och blockeringslistor för Azure Databricks-kontokonsolen och arbetsytor:

  • Tillåt listor innehåller den uppsättning IP-adresser på det offentliga Internet som tillåts åtkomst. Tillåt flera IP-adresser explicit eller som hela undernät (till exempel 216.58.195.78/28).
  • Blocklistor innehåller DE IP-adresser eller undernät som ska blockeras, även om de ingår i listan över tillåtna. Du kan använda den här funktionen om ett tillåtet IP-adressintervall innehåller ett mindre intervall av infrastruktur-IP-adresser som i praktiken ligger utanför den faktiska säkra nätverksperimetern.

När en anslutning görs:

  1. Först kontrolleras alla blocklistor. Om anslutningens IP-adress matchar en blockeringslista avvisas anslutningen.
  2. Om anslutningen inte avvisades av blockeringslistor jämförs IP-adressen med listan över tillåtna. Om det finns minst en lista över tillåtna tillåts anslutningen endast om IP-adressen matchar en lista över tillåtna. Om det inte finns några tillåtna listor tillåts alla IP-adresser.

Om funktionen är inaktiverad tillåts all åtkomst till ditt konto eller din arbetsyta.

IP access list flow diagram

För alla tillåtna listor och blocklistor tillsammans stöder kontokonsolen högst 1 000 IP-/CIDR-värden, där en CIDR räknas som ett enda värde.

Det kan ta några minuter innan ändringar i IP-åtkomstlistor börjar gälla.