Gérer les listes d’accès IP

Cette page présente les listes d’accès IP pour le compte et les espaces de travail Azure Databricks.

Vue d’ensemble des listes d’accès IP

Les listes d’accès IP améliorent la sécurité en fournissant un contrôle sur les réseaux qui peuvent se connecter à vos comptes et espaces de travail Azure Databricks. La valeur par défaut autorise les connexions à partir de n’importe quelle adresse IP.

• Limitez l’accès en fonction de l’adresse IP source de l’utilisateur.
• Autorisez les connexions uniquement à partir de réseaux approuvés tels que les bureaux d’entreprise ou les VPN.
• Bloquer les tentatives d’accès à partir de réseaux non sécurisés ou publics comme les cafés.

Il existe deux fonctionnalités de liste d’accès IP :

• Listes d’accès IP pour la console de compte (Préversion publique) : les administrateurs de compte peuvent configurer des listes d’accès IP pour la console de compte afin d’autoriser les utilisateurs à se connecter uniquement à l’interface utilisateur de la console de compte et à des API REST au niveau du compte via un jeu d’adresses IP approuvées. Les propriétaires de comptes et les administrateurs de compte peuvent utiliser une interface utilisateur de console de compte ou une API REST pour configurer des adresses IP et des sous-réseaux autorisés et bloqués. Voir Configurer des listes d’accès IP pour la console de compte.

• Listes d’accès IP pour des espaces de travail : les administrateurs d’espace de travail peuvent configurer des listes d’accès IP pour des espaces de travail Azure Databricks afin d’autoriser les utilisateurs à se connecter uniquement à l’espace de travail ou à des API au niveau de l’espace de travail via un ensemble d’adresses IP approuvées. Les administrateurs d’espace de travail doivent utiliser une API REST pour configurer les adresses IP autorisées et bloquées, et les sous-réseaux. Voir Configurer des listes d’accès IP pour les espaces de travail.

Contrôles d’entrée basés sur le contexte

Bien que l’accès IP répertorie les demandes de filtrage basées uniquement sur les adresses IP sources, les contrôles d’entrée basés sur le contexte permettent aux administrateurs de compte de combiner plusieurs conditions( telles que l’identité de l’utilisateur, le type de requête et la source réseau) dans les règles d’autorisation et de refus. Ces stratégies fournissent un contrôle plus précis sur les personnes qui peuvent atteindre votre espace de travail et à partir de l’endroit où.

Le contrôle d’entrée basé sur le contexte est configuré au niveau du compte. Une stratégie unique peut régir plusieurs espaces de travail, ce qui garantit une mise en œuvre cohérente au sein de votre organisation.

Les deux contrôles s’appliquent ensemble. Une demande doit être autorisée par la stratégie d’entrée basée sur le contexte au niveau du compte et par toutes les listes d’accès IP de l’espace de travail. L’entrée basée sur le contexte peut restreindre l’accès en fonction de l’étendue de l’identité ou de la demande, et les listes d’accès IP peuvent restreindre l’accès en fonction de l’emplacement réseau. Si l’un des contrôles bloque la demande, l’accès est refusé.

Consultez le contrôle d’entrée basé sur le contexte.

Comment l’accès est-il vérifié ?

La fonctionnalité des listes d’accès IP vous permet de configurer des listes vertes et des listes bloquées pour la console de compte et les espaces de travail Azure Databricks :

• Les Listes vertes contiennent l’ensemble d’adresses IP sur l’Internet public auquel l’accès est autorisé. Autorisez plusieurs adresses IP explicitement ou sous la forme de sous-réseaux entiers (par exemple, 216.58.195.78/28).
• Les Listes bloquées contiennent les adresses IP et sous-réseaux à bloquer, même s’ils sont inclus dans la liste verte. Par exemple, une plage d’adresses IP autorisée peut inclure une plus petite plage d’adresses IP d’infrastructure qui se trouvent, dans la pratique, en dehors du périmètre de réseau sécurisé réel.

Lors d’une tentative de connexion :

1. Toutes les listes rouges sont vérifiées. Si l’adresse IP de connexion correspond à une liste rouge, la connexion est rejetée.
2. Si la connexion n’a pas été rejetée par des listes de blocage, l’adresse IP est comparée aux listes d’autorisation. S’il existe au moins une liste verte, la connexion est autorisée uniquement si l’adresse IP correspond à une liste verte. S’il n’existe aucune liste verte, toutes les adresses IP sont autorisées.

Si la fonctionnalité est désactivée, tous les accès sont autorisés à votre compte ou espace de travail.

Pour toutes les listes autorisées et bloquées combinées, la console de compte prend en charge un maximum de 1 000 valeurs IP/CIDR, où un CIDR compte comme une seule valeur.

L’application des modifications apportées aux listes d’accès IP peut prendre quelques minutes.

Étapes suivantes

• Configurer des listes d’accès IP pour la console de compte : configurez des restrictions IP pour l’accès à la console de compte pour contrôler les réseaux qui peuvent accéder aux paramètres et API au niveau du compte. Voir Configurer des listes d’accès IP pour la console de compte.
• Configurer des listes d’accès IP pour les espaces de travail : implémentez des restrictions IP pour l’accès à l’espace de travail afin de contrôler quels réseaux peuvent se connecter à vos espaces de travail Azure Databricks. Voir Configurer des listes d’accès IP pour les espaces de travail.
• Configurer la connectivité privée : Utilisez Private Link pour établir un accès sécurisé et isolé aux services Azure à partir de votre réseau virtuel, en contournant l’Internet public. Consultez les concepts d’Azure Private Link.