このページでは、Azure Databricks ワークスペースの IP アクセス リストを構成する方法について説明します。 この記事では、 Databricks CLI を使用して実行できる最も一般的なタスクについて説明します。
IP Access Lists API を使うこともできます。
注
ワークスペース IP アクセス リストとアカウント レベルのコンテキストベースのイングレス制御が一緒に適用されます。 両方のコントロールが成功するには、要求を許可する必要があります。
コンテキストベースのイングレス コントロールでは、ID、要求の種類、およびネットワーク ソースの条件を組み合わせることにより、きめ細かいセキュリティが提供されます。 アカウント レベルで構成され、1 つのポリシーで複数のワークスペースを管理できるため、組織全体で一貫した適用が保証されます。 Databricks では、アクセスを管理するための主要な方法として、コンテキストベースのイングレス制御を使用することをお勧めします。 コンテキストベースのイングレス制御を参照してください。
ワークスペースの IP アクセス リストは引き続き、IP アドレスのみに基づいて制限のレイヤーを追加するために使用できますが、コンテキストベースのイングレスで許可される範囲を超えてアクセスを拡張することはできません。
要件
- この機能を使用するには、Premium プランが必要です。
- IP アクセス リストでは、インターネット プロトコル バージョン 4 (IPv4) アドレスのみがサポートされています。
ワークスペースでセキュア クラスター接続を有効にする場合は、コンピューティング プレーンがコントロール プレーンへのアクセスに使用するすべてのパブリック IP を許可リストに追加するか、バックエンド プライベート リンクを構成する必要があります。 そうしないと、クラシック コンピューティング リソースを起動できません。
たとえば、VNet インジェクションを使用するワークスペースでセキュリティで保護されたクラスター接続を有効にした場合、Databricks では、ワークスペースに安定したエグレス パブリック IP を設定することをお勧めします。 そのパブリック IP とその他のパブリック IP が、許可リストに存在する必要があります。 「Azure Virtual Network で Azure Databricks をデプロイする (VNet インジェクション)」を参照してください。 また、Azure Databricks マネージド VNet を使用し、パブリック IP にアクセスするようにマネージド NAT ゲートウェイを構成する場合は、それらの IP が許可リストに存在する必要があります。 詳細については、Databricks Community の投稿を参照してください。
ワークスペースで IP アクセス リスト機能が有効になっているか確認する
ワークスペースで IP アクセス リスト機能が有効かどうかを確認するには、以下の手順を実行します。
databricks workspace-conf get-status enableIpAccessLists
ワークスペースの IP アクセス リスト機能を有効または無効にする
JSON 要求本文で、enableIpAccessLists を true (有効) または false (無効) として指定します。
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
IP アクセス リストを追加する
IP アクセス リスト機能が有効になっており、ワークスペースの許可リストやブロック リストがない場合は、すべての IP アドレスが許可されます。 許可リストに IP アドレスを追加すると、リストにないすべての IP アドレスがブロックされます。 意図しないアクセス制限を回避するために、変更を慎重に確認してください。
コントロール プレーンへのアクセスにコンピューティング プレーンが使用するパブリック IP は、許可リストに追加する必要があります。
IP アクセス リストには、リストの名前であるラベルとリストの種類があります。 リストの種類は、ALLOW (許可リスト) または BLOCK (ブロック リスト。許可リスト内にある場合でも除外を意味します) のいずれかです。
たとえば、許可リストを追加するには次のようにします。
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
IP アクセス リストを一覧表示する
databricks ip-access-lists list
IP アクセス リストを更新する
次の値の少なくとも 1 つを指定して更新します。
-
label— このリストのラベル。 -
list_type—ALLOW(許可リスト) またはBLOCK(ブロック リスト。許可リスト内にある場合でも除外を意味します) のいずれか。 -
ip_addresses— 文字列値としての IP アドレスと CIDR 範囲の JSON 配列。 -
enabled— このリストが有効かどうかを指定します。trueまたはfalseを渡します。
応答は、渡したオブジェクトのコピーであり、ID と変更日についての追加フィールドが含まれます。
たとえば、リストを無効にするには次のようにします。
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
IP アクセス リストを削除する
IP アクセスを削除するには、次のようにします。
databricks ip-access-lists delete <list-id>
次のステップ
- アカウント コンソールの IP アクセス リストを構成する: アカウント レベルの設定と API にアクセスできるネットワークを制御するために、アカウント コンソールアクセスの IP 制限を設定します。 「アカウント コンソール向けの IP アクセス リストを構成する」をご覧ください。
- プライベート接続の構成: プライベート リンクを使用して、パブリック インターネットをバイパスして、仮想ネットワークから Azure サービスへの安全で分離されたアクセスを確立します。 Azure Private Link の概念を参照してください。
- VNet インジェクションの構成: ネットワーク セキュリティを強化するために、安定したエグレス パブリック IP を使用して VNet インジェクションを設定します。 「Azure Virtual Network で Azure Databricks をデプロイする (VNet インジェクション)」を参照してください。