Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página apresenta listas de acesso IP para a conta e espaços de trabalho do Azure Databricks.
Visão geral das listas de acesso IP
Nota
Este recurso requer o plano Premium.
As listas de acesso IP melhoram a segurança fornecendo controle sobre quais redes podem se conectar à sua conta e espaços de trabalho do Azure Databricks. O padrão permite conexões de qualquer endereço IP.
- Restrinja o acesso com base no endereço IP de origem do usuário.
- Permita conexões somente de redes aprovadas, como escritórios corporativos ou VPNs.
- Bloqueie tentativas de acesso de redes públicas ou inseguras, como cafés.
Há dois recursos de lista de acesso IP:
- listas de acesso IP para o console de conta (Public Preview): Os administradores de conta podem configurar listas de acesso IP para o console de conta para permitir que os utilizadores se conectem à interface do utilizador do console de conta e às APIs REST ao nível da conta apenas através de um conjunto de endereços IP autorizados. Os proprietários e administradores de contas podem usar uma interface do usuário do console de conta ou uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para o console da conta.
- listas de acesso IP para espaços de trabalho: os administradores de espaços de trabalho podem configurar listas de acesso IP para espaços de trabalho do Azure Databricks para permitir que os usuários se conectem ao espaço de trabalho ou APIs no nível do espaço de trabalho somente por meio de um conjunto de endereços IP aprovados. Os administradores do espaço de trabalho usam uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para espaços de trabalho.
Nota
Se utilizar o Private Link, as listas de acesso IP aplicam-se apenas a pedidos através da Internet (endereços IP públicos). Os endereços IP privados do tráfego de Link Privado não podem ser bloqueados por listas de acesso IP. Para controlar quem pode acessar o Azure Databricks usando o link privado, você pode verificar quais pontos de extremidade privados foram criados Consulte Conceitos de Link Privado do Azure.
Controles de entrada baseados no contexto
Enquanto as listas de acesso IP filtram solicitações baseadas apenas em endereços IP de origem, os controles de entrada baseados em contexto permitem que os administradores de conta combinem várias condições, como identidade do usuário, tipo de solicitação e origem da rede, em regras de permissão e negação. Essas políticas fornecem um controle mais granular sobre quem pode acessar seu espaço de trabalho e de onde.
O controle de entrada baseado no contexto é configurado no nível da conta. Uma única política pode governar vários espaços de trabalho, garantindo uma aplicação consistente em toda a sua organização.
Ambos os controlos se aplicam em conjunto. Uma solicitação deve ser autorizada pela política de entrada baseada em contexto ao nível da conta e por quaisquer listas de acesso IP do espaço de trabalho. A entrada baseada no contexto pode restringir o acesso com base na identidade ou no escopo da solicitação, e as listas de acesso IP podem restringir o acesso com base no local da rede. Se qualquer controle bloquear a solicitação, o acesso será negado.
Consulte Controle de entrada baseado no contexto.
Como é verificado o acesso?
O recurso de listas de acesso IP permite configurar listas de permissões e listas de bloqueio para o console de conta e espaços de trabalho do Azure Databricks:
-
As listas de permissões contêm o conjunto de endereços IP na Internet pública que têm acesso permitido. Permitir vários endereços IP explicitamente ou como sub-redes inteiras (por exemplo
216.58.195.78/28). - As listas de bloqueios contêm os endereços IP ou sub-redes a bloquear, mesmo que estejam incluídos na lista de permissões. Você pode usar esse recurso se um intervalo de endereços IP permitido incluir um intervalo menor de endereços IP de infraestrutura que, na prática, estão fora do perímetro de rede seguro real.
Quando uma conexão é tentada:
- Primeiro, todas as listas de bloqueio são verificadas. Se o endereço IP da conexão corresponder a qualquer lista de bloqueios, a conexão será rejeitada.
- Se a conexão não foi rejeitada pelas listas de bloqueio, o endereço IP é comparado com as listas de permissões. Se houver pelo menos uma lista de permissões, a conexão só será permitida se o endereço IP corresponder a uma lista de permissões. Se não houver listas de permissões, todos os endereços IP serão permitidos.
Se o recurso estiver desativado, todo o acesso será permitido à sua conta ou espaço de trabalho.
Para todas as listas de permissões e listas de bloqueios combinadas, o console da conta suporta um máximo de 1000 valores de IP/CIDR, onde um CIDR conta como um único valor.
As alterações nas listas de acesso IP podem levar alguns minutos para entrar em vigor.
Próximos passos
- Configurar listas de acesso IP para o console da conta: configure restrições de IP para acesso ao console da conta para controlar quais redes podem acessar configurações e APIs no nível da conta. Consulte Configurar listas de acesso IP para o console da conta.
- Configurar listas de acesso IP para espaços de trabalho: implemente restrições de IP para acesso ao espaço de trabalho para controlar quais redes podem se conectar aos seus espaços de trabalho do Azure Databricks. Consulte Configurar listas de acesso IP para espaços de trabalho.
- Configurar conectividade privada: use o Link Privado para estabelecer acesso seguro e isolado aos serviços do Azure a partir de sua rede virtual, ignorando a Internet pública. Consulte Conceitos de Link Privado do Azure.