Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Na tej stronie przedstawiono listy dostępu do adresów IP dla konta i obszarów roboczych usługi Azure Databricks.
Omówienie list dostępu do adresów IP
Uwaga
Ta funkcja wymaga planu Premium.
Listy dostępu do adresów IP zwiększają bezpieczeństwo, zapewniając kontrolę nad sieciami, które mogą łączyć się z kontem i obszarami roboczymi usługi Azure Databricks. Ustawienie domyślne zezwala na połączenia z dowolnego adresu IP.
- Ogranicz dostęp na podstawie źródłowego adresu IP użytkownika.
- Zezwalaj na połączenia tylko z zatwierdzonych sieci, takich jak biura firmowe lub sieci VPN.
- Blokuj próby dostępu z niezabezpieczonych lub publicznych sieci, takich jak kawiarnie.
Istnieją dwie funkcje listy dostępu do adresów IP:
- Listy dostępu do adresów IP dla konsoli konta (publiczna wersja zapoznawcza):administratorzy kont mogą skonfigurować listy dostępu ip dla konsoli konta, aby umożliwić użytkownikom łączenie się z interfejsem użytkownika konsoli konta i interfejsami API REST na poziomie konta tylko za pośrednictwem zestawu zatwierdzonych adresów IP. Właściciele kont i administratorzy kont mogą używać interfejsu użytkownika konsoli konta lub interfejsu API REST do konfigurowania dozwolonych i zablokowanych adresów IP i podsieci. Zobacz Konfigurowanie list dostępu do adresów IP dla konsoli konta.
- Listy dostępu do adresów IP dla obszarów roboczych: Administratorzy obszarów roboczych mogą konfigurować listy dostępu IP dla obszarów roboczych usługi Azure Databricks, aby umożliwić użytkownikom łączenie się z obszarem roboczym lub interfejsami API na poziomie obszaru roboczego wyłącznie za pośrednictwem zatwierdzonych adresów IP. Administratorzy obszaru roboczego używają interfejsu API REST do konfigurowania dozwolonych i zablokowanych adresów IP i podsieci. Zobacz Konfigurowanie list dostępu do adresów IP dla obszarów roboczych.
Uwaga
Jeśli używasz usługi Private Link, listy dostępu do adresów IP mają zastosowanie tylko do żądań za pośrednictwem Internetu (publicznych adresów IP). Listy dostępu do adresów IP nie mogą blokować prywatnych adresów IP z ruchu usługi Private Link. Aby kontrolować, kto może uzyskiwać dostęp do usługi Azure Databricks przy użyciu łącza prywatnego, możesz sprawdzić, które prywatne punkty końcowe zostały utworzone, zobacz Pojęcia dotyczące usługi Azure Private Link.
Kontrola ruchu przychodzącego oparta na kontekście
Ważne
Ta funkcja jest dostępna w publicznej wersji testowej.
Podczas gdy listy kontroli dostępu IP filtrują żądania tylko na podstawie adresów IP źródeł, kontekstowe kontrolki dostępu przychodzącego umożliwiają administratorom kont łączenie wielu warunków — takich jak tożsamość użytkownika, typ żądania i źródło sieci — w reguły zezwalania i blokowania. Te zasady zapewniają bardziej szczegółową kontrolę nad tym, kto może dotrzeć do obszaru roboczego i skąd.
Kontrola dostępu oparta na kontekście jest konfigurowana na poziomie konta. Jedna zasada może zarządzać wieloma obszarami roboczymi, zapewniając spójne wymuszanie w całej organizacji.
Oba elementy sterujące są stosowane razem. Żądanie musi być dozwolone przez zasady ruchu przychodzącego na poziomie konta i listy dostępu do adresów IP obszaru roboczego. Ruch kontekstowy może ograniczać dostęp na podstawie tożsamości lub zakresu żądania, a listy dostępowe IP mogą ograniczać dostęp na podstawie lokalizacji sieciowej. Jeśli którakolwiek kontrolka blokuje żądanie, odmowa dostępu.
Zobacz Kontrola dostępu oparta na kontekście.
Jak jest sprawdzany dostęp?
Funkcja listy dostępu do adresów IP umożliwia skonfigurowanie list dozwolonych i list zablokowanych dla konsoli konta i obszarów roboczych usługi Azure Databricks:
-
Listy dozwolonych zawierają zestaw adresów IP w publicznym Internecie, do którego jest dozwolony dostęp. Zezwalaj jawnie na wiele adresów IP lub jako całe podsieci (na przykład
216.58.195.78/28). - Listy blokowe zawierają adresy IP lub podsieci, które mają być blokowane, nawet jeśli znajdują się na liście dozwolonych. Ta funkcja może być używana, jeśli dozwolony zakres adresów IP obejmuje mniejszy zakres adresów IP infrastruktury, które w praktyce znajdują się poza rzeczywistym obwodem bezpiecznej sieci.
Po podjęciu próby nawiązania połączenia:
- Najpierw sprawdzane są wszystkie listy blokowe. Jeśli adres IP połączenia jest zgodny z dowolną listą bloków, połączenie zostanie odrzucone.
- Jeśli połączenie nie zostało odrzucone przez listy zablokowanych, adres IP jest porównywany z listami dozwolonych. Jeśli istnieje co najmniej jedna lista dozwolonych, połączenie jest dozwolone tylko wtedy, gdy adres IP jest zgodny z listą dozwolonych. Jeśli nie ma list dozwolonych, wszystkie adresy IP są dozwolone.
Jeśli ta funkcja jest wyłączona, cały dostęp jest dozwolony dla Twojego konta lub obszaru roboczego.
W przypadku wszystkich połączonych list dozwolonych i blokujących, konsola konta obsługuje maksymalnie 1000 wartości IP/CIDR, gdzie jedna wartość CIDR jest liczona jako pojedyncza wartość.
Wprowadzenie zmian w listach dostępu do adresów IP może potrwać kilka minut.
Dalsze kroki
- Konfigurowanie list dostępu do adresów IP dla konsoli konta: skonfiguruj ograniczenia adresów IP dla dostępu do konsoli konta, aby kontrolować, które sieci mogą uzyskiwać dostęp do ustawień i interfejsów API na poziomie konta. Zobacz Konfigurowanie list dostępu do adresów IP dla konsoli konta.
- Konfigurowanie list dostępu do adresów IP dla obszarów roboczych: zaimplementuj ograniczenia adresów IP dla dostępu do obszaru roboczego, aby kontrolować, które sieci mogą łączyć się z obszarami roboczymi usługi Azure Databricks. Zobacz Konfigurowanie list dostępu do adresów IP dla obszarów roboczych.
- Konfigurowanie łączności prywatnej: użyj usługi Private Link, aby ustanowić bezpieczny i izolowany dostęp do usług platformy Azure z sieci wirtualnej, pomijając publiczny Internet. Zobacz Pojęcia dotyczące usługi Azure Private Link.