다음을 통해 공유

IP 액세스 목록 관리

이 페이지에서는 Azure Databricks 계정 및 작업 영역에 대한 IP 액세스 목록을 소개합니다.

IP 액세스 목록 개요

참고 항목

이 기능을 사용하려면 Premium 플랜이 필요합니다.

IP 액세스 목록은 Azure Databricks 계정 및 작업 영역에 연결할 수 있는 네트워크를 제어하여 보안을 강화합니다. 기본값은 모든 IP 주소의 연결을 허용합니다.

  • 사용자의 원본 IP 주소에 따라 액세스를 제한합니다.
  • 회사 사무실 또는 VPN과 같은 승인된 네트워크에서만 연결을 허용합니다.
  • 안전하지 않거나 커피숍과 같은 공용 네트워크에서 액세스 시도를 차단합니다.

다음과 같은 두 가지 IP 액세스 목록 기능이 있습니다.

  • 계정 콘솔(공개 미리 보기)대한 IP 액세스 목록 : 계정 관리자는 사용자가 승인된 IP 주소 집합을 통해서만 계정 콘솔 UI 및 계정 수준 REST API에 연결할 수 있도록 계정 콘솔에 대한 IP 액세스 목록을 구성할 수 있습니다. 계정 소유자 및 계정 관리자는 계정 콘솔 UI 또는 REST API를 사용하여 허용 및 차단된 IP 주소 및 서브넷을 구성할 수 있습니다. 계정 콘솔에 대한 IP 액세스 목록 구성을 참조 하세요.
  • 작업 영역대한 IP 액세스 목록: 작업 영역 관리자는 사용자가 승인된 IP 주소 집합을 통해서만 작업 영역 또는 작업 영역 수준 API에 연결할 수 있도록 Azure Databricks 작업 영역에 대한 IP 액세스 목록을 구성할 수 있습니다. 작업 영역 관리자는 REST API를 사용하여 허용 및 차단된 IP 주소 및 서브넷을 구성합니다. 작업 영역에 대한 IP 액세스 목록 구성을 참조하세요.

참고 항목

Private Link를 사용하는 경우 IP 액세스 목록은 인터넷(공용 IP 주소)을 통해 요청에만 적용됩니다. Private Link 트래픽의 개인 IP 주소는 IP 액세스 목록에 의해 차단될 수 없습니다. 프라이빗 링크를 사용하여 Azure Databricks에 액세스할 수 있는 사용자를 제어하려면 Azure Private Link 개념을 참조하여 만든 프라이빗 엔드포인트를 확인할 수 있습니다.

컨텍스트 기반 인그레스 제어

중요합니다

이 기능은 공개 미리보기 단계에 있습니다.

IP 액세스는 원본 IP 주소를 기반으로 하는 필터 요청을 나열하지만 컨텍스트 기반 수신 컨트롤을 사용하면 계정 관리자가 사용자 ID, 요청 유형 및 네트워크 원본과 같은 여러 조건을 허용 및 거부 규칙으로 결합할 수 있습니다. 이러한 정책은 작업 영역에 도달할 수 있는 사용자와 위치를 보다 세부적으로 제어할 수 있습니다.

컨텍스트 기반 수신 제어는 계정 수준에서 구성됩니다. 단일 정책은 여러 작업 영역을 제어하여 조직 전체에서 일관된 적용을 보장할 수 있습니다.

두 컨트롤이 함께 적용됩니다. 요청은 계정 수준 컨텍스트 기반 인그레스 정책과 작업 공간 IP 액세스 목록에 의해 허용되어야 합니다. 컨텍스트 기반 인그레스는 ID 또는 요청 범위에 따라 액세스를 제한할 수 있으며, IP 액세스 목록은 네트워크 위치에 따라 액세스를 제한할 수 있습니다. 두 컨트롤 중 하나가 요청을 차단하면 액세스가 거부됩니다.

컨텍스트 기반 수신 제어를 참조하세요.

액세스 확인 방법

IP 액세스 목록 기능을 사용하면 Azure Databricks 계정 콘솔 및 작업 영역에 대한 허용 목록 및 차단 목록을 구성할 수 있습니다.

  • 허용 목록 액세스가 허용되는 공용 인터넷의 IP 주소 집합을 포함합니다. 여러 IP 주소를 명시적으로 또는 전체 서브넷으로 허용합니다(예 216.58.195.78/28: ).
  • 차단 목록은 허용 목록에 포함되더라도 차단된 IP 주소나 서브넷을 포함합니다. 허용된 IP 주소 범위에 실제로 실제 보안 네트워크 경계 외부에 있는 더 작은 범위의 인프라 IP 주소가 포함된 경우 이 기능을 사용할 수 있습니다.

연결을 시도하는 경우 다음을 수행합니다.

  1. 먼저 모든 차단 목록을 확인합니다. 연결 IP 주소가 차단 목록과 일치하면 연결이 거부됩니다.
  2. 차단 목록에 의해 연결이 거부되지 않은 경우 IP 주소가 허용 목록과 비교됩니다. 허용 목록이 하나 이상 있는 경우 IP 주소가 허용 목록과 일치하는 경우에만 연결이 허용됩니다. 허용 목록이 없으면 모든 IP 주소가 허용됩니다.

기능을 사용하지 않도록 설정하면 계정 또는 작업 영역에 대한 모든 액세스가 허용됩니다.

IP 액세스 목록 흐름 다이어그램

모든 허용 목록 및 블록 목록을 결합한 경우 계정 콘솔은 최대 1,000개의 IP/CIDR 값을 지원합니다. 여기서 하나의 CIDR은 단일 값으로 계산됩니다.

IP 액세스 목록의 변경 내용을 적용하는 데 몇 분 정도 걸릴 수 있습니다.

다음 단계

  • 계정 콘솔에 대한 IP 액세스 목록 구성: 계정 콘솔 액세스에 대한 IP 제한을 설정하여 계정 수준 설정 및 API에 액세스할 수 있는 네트워크를 제어합니다. 계정 콘솔에 대한 IP 액세스 목록 구성을 참조 하세요.
  • 작업 영역에 대한 IP 액세스 목록 구성: 작업 영역 액세스에 대한 IP 제한을 구현하여 Azure Databricks 작업 영역에 연결할 수 있는 네트워크를 제어합니다. 작업 영역에 대한 IP 액세스 목록 구성을 참조하세요.
  • 프라이빗 연결 구성: Private Link를 사용하여 공용 인터넷을 우회하여 가상 네트워크에서 Azure 서비스에 대한 안전하고 격리된 액세스를 설정합니다. Azure Private Link 개념을 참조하세요.
  • Last updated on