管理 IP 存取清單

本指南介紹 Azure Databricks 帳戶和工作區的 IP 存取清單。

IP 存取清單概觀

注意

此功能需要 進階版方案 。

根據預設，使用者可以從任何電腦或 IP 位址連線到 Azure Databricks。 IP 存取清單可讓您根據使用者的 IP 位址限制對 Azure Databricks 帳戶和工作區的存取。 例如，您可以設定 IP 存取清單，讓使用者只能透過具有安全周邊的現有公司網路進行連線。 如果內部 VPN 網路已獲得授權，遠端或移動的使用者可以使用 VPN 連線到公司網路。 如果使用者嘗試從不安全的網路連線到 Azure Databricks，例如從咖啡店連線，就會封鎖存取。

有兩個 IP 存取清單功能：

• 帳戶主控台的 IP 存取清單（ 公開預覽 ） ：帳戶管理員可以設定帳戶主控台的 IP 存取清單，讓使用者只能透過一組核准的 IP 位址連線到帳戶主控台 UI 和帳戶層級 REST API。 帳戶擁有者和帳戶管理員可以使用帳戶主控台 UI 或 REST API 來設定允許和封鎖的 IP 位址和子網。 請參閱 設定帳戶主控台 的 IP 存取清單。

• 工作區的 IP 存取清單：工作區系統管理員可以設定 Azure Databricks 工作區的 IP 存取清單，讓使用者只能透過一組核准的 IP 位址連線到工作區或工作區層級 API。 工作區系統管理員會使用 REST API 來設定允許和封鎖的 IP 位址和子網。 請參閱 設定工作區的 IP 存取清單。

注意

如果您使用 Private Link，IP 存取清單只適用于透過網際網路的要求（公用 IP 位址）。 私人連結流量的私人 IP 位址無法由 IP 存取清單封鎖。 若要控制誰可以使用私人連結存取 Azure Databricks，您可以檢查是否已建立哪些私人端點，請參閱 啟用 Azure Private Link 後端和前端連線 。

如何檢查存取權？

IP 存取清單功能可讓您設定 Azure Databricks 帳戶主控台和工作區的允許清單和封鎖清單：

• 允許清單 包含允許存取之公用網際網路上的一組 IP 位址。 明確允許多個 IP 位址或作為整個子網（例如 216.58.195.78/28 ）。
• 封鎖清單 包含要封鎖的 IP 位址或子網，即使它們包含在允許清單中也一樣。 如果允許的 IP 位址範圍包含較小的基礎結構 IP 位址範圍，實際上會超出實際的安全網路周邊，您可以使用這項功能。

嘗試連線時：

1. 首先會檢查所有區塊清單。 如果連線 IP 位址符合任何封鎖清單，則會拒絕連線。
2. 如果封鎖清單 未拒絕連線，IP 位址會與允許清單進行比較。 如果至少有一個允許清單，則只有在 IP 位址符合允許清單時，才允許連線。 如果沒有允許清單，則會允許所有 IP 位址。

如果停用此功能，則所有存取都允許存取您的帳戶或工作區。

針對合併的所有允許清單和封鎖清單，帳戶主控台最多支援 1000 個 IP/CIDR 值，其中一個 CIDR 會計算為單一值。

IP 存取清單的變更可能需要幾分鐘的時間才會生效。