Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
Esta característica requiere el nivel Premium.
En esta página se explica cómo el control de salida sin servidor permite administrar las conexiones de red salientes desde los recursos de proceso sin servidor.
Para obtener el control de entrada, consulte Control de entrada basado en contexto.
El control de salida sin servidor refuerza la posición de seguridad al permitirle administrar las conexiones salientes de las cargas de trabajo sin servidor, lo que reduce el riesgo de filtración de datos.
Puede usar las directivas de red para lo siguiente:
- Aplicar la posición de denegación por defecto: controlar el acceso saliente con precisión granular habilitando una directiva de denegación por defecto para las conexiones de internet, almacenamiento en la nube y API de Databricks.
- Simplificar la administración: defina una política de control de egreso coherente para todas las cargas de trabajo sin servidor en varias soluciones sin servidor.
- Gestionar fácilmente a escala: Administre centralizadamente su configuración en múltiples espacios de trabajo y aplique una política predeterminada para su cuenta de Databricks.
- Implementar directivas de forma segura: mitigue el riesgo mediante la evaluación de los efectos de cualquier nueva directiva en primer lugar en modo de ejecución seca antes de la aplicación completa.
El control de salida sin servidor se admite con los siguientes productos sin servidor: cuadernos, flujos de trabajo, almacenes de SQL, canalizaciones declarativas de Lakeflow Spark, servicio de modelos de IA de mosaico, supervisión de calidad de datos y aplicaciones de Databricks con compatibilidad limitada.
Nota:
La habilitación de restricciones de salida en un área de trabajo impide que Las aplicaciones de Databricks accedan a recursos no autorizados. Sin embargo, la implementación de restricciones de salida podría afectar a la funcionalidad de la aplicación.
Información general sobre la directiva de red
Una directiva de red es un objeto de configuración aplicado en el nivel de cuenta. Aunque una sola directiva de red se puede asociar a varias áreas de trabajo, cada área de trabajo solo se puede vincular a una directiva cada vez.
Las directivas de red definen el modo de acceso de red para cargas de trabajo sin servidor dentro de las áreas de trabajo asociadas. Hay dos modos principales:
Acceso completo: las cargas de trabajo sin servidor tienen acceso saliente sin restricciones a Internet y a otros recursos de red.
Acceso restringido: el acceso saliente está limitado a:
- Ubicaciones externas del catálogo de Unity: ubicaciones externas configuradas en el catálogo de Unity a las que se puede acceder desde el área de trabajo. La región catálogo de Unity debe ser la misma que la región de la cuenta de almacenamiento de Azure.
- Destinos definidos explícitamente: los FQDN y la cuenta de almacenamiento de Azure aparecen en la directiva de red.
Las directivas no solo rigen el acceso saliente. También pueden incluir controles de entrada, que determinan cómo entra el tráfico de red en el sistema. Para obtener más información sobre cómo configurar controles de entrada, consulte Control de entrada basado en contexto.
Posición de seguridad
Cuando una directiva de red se establece en modo de acceso restringido, las conexiones de red salientes de las cargas de trabajo sin servidor se controlan estrechamente.
| Comportamiento | Detalles |
|---|---|
| Denegar de forma predeterminada la conectividad saliente | Las cargas de trabajo sin servidor solo tienen acceso a lo siguiente: los destinos configurados a través de ubicaciones externas del catálogo de Unity, que se permiten de forma predeterminada, los nombres de dominio completos (FQDN) o las ubicaciones de almacenamiento definidas en la directiva, y las API de la misma área de trabajo que la carga. La región catálogo de Unity debe ser la misma que la región de la cuenta de almacenamiento de Azure. Se deniega el acceso entre áreas de trabajo. |
| Sin acceso directo al almacenamiento | Se prohíbe el acceso directo desde el código de usuario en los UDF y cuadernos. En su lugar, use abstracciones de Databricks como los montajes de Catálogo de Unity o DBFS. Los montajes DBFS permiten el acceso seguro a los datos de la cuenta de almacenamiento de Azure enumerados en la directiva de red. |
| Destinos permitidos implícitamente | Siempre puede acceder a la cuenta de Almacenamiento de Azure asociada con el área de trabajo, las tablas esenciales del sistema y los conjuntos de datos de ejemplo (solo lectura). |
| Aplicación de directivas para puntos de conexión privados | El acceso saliente a través de puntos de conexión privados también está sujeto a las reglas definidas en la directiva de red. El destino debe aparecer en el Catálogo de Unity o en la directiva. Esto garantiza una aplicación uniforme de la seguridad en todos los métodos de acceso a la red. |