Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce guide présente les fonctionnalités permettant de personnaliser l’accès réseau entre les utilisateurs et leurs espaces de travail Azure Databricks.
Pourquoi personnaliser la mise en réseau des utilisateurs vers Azure Databricks ?
Par défaut, les utilisateurs et les applications peuvent se connecter à Azure Databricks à partir de n’importe quelle adresse IP. Les utilisateurs peuvent accéder aux sources de données critiques à l’aide d’Azure Databricks. Si les informations d’identification d’un utilisateur sont compromises par le biais d’un hameçonnage ou d’une attaque similaire, la sécurisation de l’accès réseau réduit considérablement le risque de prise en charge d’un compte. Les configurations telles que la connectivité privée, les listes d’accès IP et les pare-feu aident à sécuriser les données critiques.
Vous pouvez également configurer les fonctionnalités de contrôle d’authentification et d’accès pour protéger les informations d’identification de vos utilisateurs, voir Authentification et contrôle d’accès.
Remarque
Pour accéder aux fonctionnalités de mise en réseau sécurisées d'Azure Databricks, les utilisateurs nécessitent le plan Premium.
Connectivité privée
Entre les utilisateurs Azure Databricks et le plan de contrôle, Private Link fournit des contrôles forts qui limitent la source pour les requêtes entrantes. Si votre organisation achemine le trafic via un environnement Azure, vous pouvez utiliser Private Link pour vous assurer que la communication entre les utilisateurs et le plan de contrôle Databricks ne traverse pas les adresses IP publiques. Consultez Configurer une liaison privée du front-end.
Contrôle d’entrée basé sur le contexte
Important
Cette fonctionnalité est disponible en préversion publique.
Le contrôle d’entrée basé sur le contexte fournit des stratégies au niveau du compte qui combinent l’identité, le type de requête et la source réseau pour déterminer qui peut atteindre votre espace de travail. Les stratégies d’entrée vous permettent de :
- Autorisez ou refusez l’accès à l’interface utilisateur de l’espace de travail, aux API ou au calcul Lakebase.
- Appliquez des règles à tous les utilisateurs, à tous les principaux de service ou à des identités sélectionnées spécifiques.
- Accordez ou bloquez l’accès à partir de toutes les adresses IP publiques ou à partir de plages d’adresses IP spécifiques.
- Exécutez en mode simulation pour consigner les refus dans le journal sans bloquer le trafic, ou en mode de mise en application pour bloquer activement les requêtes non fiables.
Chaque compte inclut une stratégie d’entrée par défaut qui s’applique à tous les espaces de travail éligibles. Les listes d'accès IP du site sont toujours prises en charge, mais elles sont évaluées uniquement après que la politique d'ingress du compte a autorisé une requête. Pour plus d’informations, consultez le contrôle d’entrée basé sur le contexte.
Listes d’accès IP
L’authentification prouve l’identité de l’utilisateur, mais elle n’applique pas l’emplacement réseau des utilisateurs. L’accès à un service cloud à partir d’un réseau non sécurisé présente des risques de sécurité, en particulier lorsque l’utilisateur peut avoir autorisé l’accès à des données sensibles ou personnelles. À l’aide de listes d’accès IP, vous pouvez configurer des espaces de travail Azure Databricks afin que les utilisateurs se connectent au service uniquement via des réseaux existants avec un périmètre sécurisé.
Les administrateurs peuvent spécifier les adresses IP autorisées à accéder à Azure Databricks. Vous pouvez également spécifier des adresses IP ou des sous-réseaux à bloquer. Pour plus d’informations, consultez Gérer les listes d’accès IP.
Vous pouvez également utiliser Private Link pour bloquer tout accès Internet public à un espace de travail Azure Databricks.
Règles de pare-feu
De nombreuses organisations utilisent le pare-feu pour bloquer le trafic en fonction des noms de domaine. Vous devez autoriser la liste des noms de domaine Azure Databricks pour garantir l’accès aux ressources Azure Databricks. Pour plus d’informations, consultez Configurer des règles de pare-feu de nom de domaine.
Azure Databricks effectue également la validation de l’en-tête de l’hôte pour garantir que les demandes utilisent des domaines Azure Databricks autorisés comme .azuredatabricks.net. Les requêtes utilisant des domaines en dehors du réseau Azure Databricks sont bloquées. Cette mesure de sécurité protège contre les attaques potentielles d’en-tête d’hôte HTTP.