Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página apresenta listas de acesso de IP para a conta e os workspaces do Azure Databricks.
Visão geral das listas de acesso IP
Observação
Esse recurso requer o plano Premium.
As listas de acesso IP aumentam a segurança fornecendo controle sobre quais redes podem se conectar à sua conta e workspaces do Azure Databricks. O padrão permite conexões de qualquer endereço IP.
- Restrinja o acesso com base no endereço IP de origem do usuário.
- Permita conexões apenas de redes aprovadas, como escritórios corporativos ou VPNs.
- Bloqueie tentativas de acesso de redes inseguras ou públicas, como cafeterias.
Há dois recursos de lista de acesso por IP:
- Listas de acesso IP para o console da conta (VisualizaçãoPública): os administradores de conta podem configurar listas de acesso IP para o console da conta para permitir que os usuários se conectem à interface do usuário do console da conta e às APIs REST no nível da conta apenas por meio de um conjunto de endereços IP aprovados. Proprietários de contas e administradores de contas podem usar uma interface de usuário do console da conta ou uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para o console da conta.
- Listas de acesso IP para workspaces: os administradores do workspace podem configurar listas de acesso IP para workspaces do Azure Databricks para permitir que os usuários se conectem às APIs no nível do workspace ou do workspace apenas por meio de um conjunto de endereços IP aprovados. Os administradores do workspace usam uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para workspaces.
Observação
Se você usar o Link Privado, as listas de acesso a IP se aplicam somente a solicitações pela Internet (endereços IP públicos). Endereços IP privados de tráfego de link privado não podem ser bloqueados pelas listas de acesso IP. Para controlar quem pode acessar o Azure Databricks usando o link privado, você pode verificar quais pontos de extremidade privados foram criados Consulte os conceitos do Link Privado do Azure.
Controles de entrada baseados em contexto
Importante
Esse recurso está em Visualização Pública.
Embora o acesso a IP liste solicitações de filtro baseadas apenas em endereços IP de origem, os controles de entrada baseados em contexto permitem que os administradores da conta combinem várias condições, como identidade do usuário, tipo de solicitação e fonte de rede, em regras de permissão e negação. Essas políticas fornecem controle mais granular sobre quem pode acessar seu espaço de trabalho e de onde.
O controle de entrada baseado em contexto é configurado no nível da conta. Uma única política pode controlar vários workspaces, garantindo uma imposição consistente em toda a sua organização.
Ambos os controles se aplicam juntos. Uma solicitação deve ser permitida pela política de entrada baseada em contexto no nível da conta e por qualquer lista de acesso IP do workspace. A entrada baseada em contexto pode restringir o acesso com base no escopo de identidade ou solicitação, e as listas de acesso IP podem restringir o acesso com base no local da rede. Se um dos controles bloquear a solicitação, o acesso será negado.
Consulte o controle de entrada baseado em contexto.
Como o acesso é verificado?
O recurso listas de acesso IP permite que você configure listas de permissões e listas de blocos para o console de conta do Azure Databricks e workspaces:
-
As listas de permissão contêm o conjunto de endereços IP na Internet pública que têm permissão de acesso. Permitir vários endereços IP explicitamente ou como sub-redes inteiras (por exemplo
216.58.195.78/28). - As listas de blocos contêm os endereços IP ou as sub-redes a serem bloqueadas, mesmo que estejam incluídas na lista de permissões. Você usaria esse recurso se um intervalo de endereços IP permitido incluísse um intervalo menor de endereços IP de infraestrutura que, na prática, estão fora do perímetro de rede seguro real.
Quando ocorre uma tentativa de conexão:
- Primeiro, todas as listas de bloqueio são verificadas. Se o endereço IP da conexão corresponder a qualquer lista de bloqueio, a conexão será rejeitada.
- Se a conexão não tiver sido rejeitada por listas de bloqueio, o endereço IP será comparado com as listas de permissões. Se houver pelo menos uma lista de permissões, a conexão será permitida somente se o endereço IP corresponder a uma lista de permissões. Se não houver listas de permissões, todos os endereços IP serão permitidos.
Se o recurso estiver desabilitado, todo o acesso será permitido à sua conta ou workspace.
Para todas as listas de permissões e listas de blocos combinadas, o console da conta dá suporte a um máximo de 1000 valores de IP/CIDR, em que uma CIDR conta como um único valor.
As alterações nas listas de acesso a IP podem levar alguns minutos para entrar em vigor.
Próximas etapas
- Configurar listas de acesso IP para o console da conta: configure restrições de IP para acesso ao console de conta para controlar quais redes podem acessar as configurações e APIs no nível da conta. Consulte Configurar listas de acesso IP para o console da conta.
- Configurar listas de acesso IP para workspaces: defina restrições de IP para controlar quais redes podem se conectar aos workspaces do Azure Databricks. Consulte Configurar listas de acesso IP para workspaces.
- Configurar a conectividade privada: use o Link Privado para estabelecer acesso seguro e isolado aos serviços do Azure de sua rede virtual, ignorando a Internet pública. Consulte os conceitos do Link Privado do Azure.