內容型輸入控制

本頁提供內容型輸入控制的概觀。 如需無伺服器輸出控制，請參閱 什麼是無伺服器輸出控制？。

若要設定輸入原則，請參閱 管理環境定義型輸入原則。

上下文型入口控制概觀

內容型輸入控制可與 IP 存取清單和前端私人連線搭配使用，讓帳戶系統管理員能夠設定允許和拒絕規則，以結合通話者、通話位置，以及他們在 Azure Databricks 中可以連線到的內容。 這可確保只有身分、要求類型和網路來源的受信任組合才能到達您的工作區。 內容型輸入控制是在帳戶層級設定。 單一原則可以控管多個工作區，確保整個組織的執行一致。

使用內容型輸入，您可以：

• 除了認證之外，還需要第二個因素，即受信任的網路來源，以阻止來自不受信任的網路的存取。
• 允許沒有穩定輸出 IP 的 SaaS 用戶端存取，方法是輸入身分識別而不是 IP 範圍。
• 允許不太受信任的來源只使用特定範圍，例如 Databricks API 或工作區 UI，以限制存取。
• 保護特殊許可權自動化：將高價值服務主體限制為僅高信任網路。
• 有效稽核：在 Unity Catalog 系統資料表中擷取詳細的拒絕記錄，以監視封鎖的請求。

基於上下文的入口控制核心概念

網路來源

網路來源會定義要求的來源。 支援的類型包括：

• 所有公用 IP：任何公用網際網路來源。
• 選取的 IP：特定 IPv4 位址或 CIDR 範圍。

存取類型

規則適用於不同的輸入要求範圍。 每個範圍代表您可以允許或拒絕的傳入請求類別：

• 工作區 UI：瀏覽器存取工作區。
• API：透過 Databricks API 進行程式設計存取，包括 SQL 端點 （JDBC/ODBC）。
• 應用程式：允許或拒絕存取 Databricks Apps 部署。 請參閱 Databricks Apps。 此存取類型僅支援 [ 所有使用者和服務主體身分 識別] 選項。

• Lakebase Compute：與 Lakebase 資料庫執行個體的連線。 請參閱 Lakebase 執行個體。 此存取類型僅支援 [ 所有使用者和服務主體身分 識別] 選項。

身分識別

規則可以針對不同的身分類型。 針對 應用程式 和 Lakebase 計算 存取類型，唯一支援的選項是 [ 所有使用者和服務主體]。

• 所有使用者和服務主體：人類使用者和自動化。
• 所有使用者：僅限人類使用者。
• 所有服務主體：僅限自動化身分識別。
• 選取的身分識別：系統管理員選擇的特定使用者或服務主體。

規則評估

• 預設拒絕：在受限模式下，除非明確允許，否則會拒絕存取。
• 拒絕後允許：如果兩種類型的規則都存在，則拒絕規則優先。
• 預設原則：每個帳戶都有預設輸入原則套用至所有符合資格的工作區，而沒有明確的原則指派。

強制執行模式

上下文型進入策略支援兩種模式：

• 針對所有產品強制執行：系統會主動套用規則，並封鎖違規要求。
• 所有產品的試運行模式：記錄違規行為，但不會阻止請求，讓您能夠安全地評估政策影響。

Auditing

拒絕或試執行的要求會被記錄在 system.access.inbound_network 系統資料表中。 每個日誌項目包括：

• 活動時間
• 工作區識別碼
• 要求類型
• 身份
• 網路來源
• 存取類型（DENIED 或 DRY_RUN_DENIAL）

您可以查詢這些日誌，以驗證您的規則是否正確套用，並偵測非預期的存取嘗試。

與其他控制項的關係

• Workspace IP 存取清單：在基於上下文的入口策略允許要求之前進行評估。 兩者都必須允許請求。 工作區 IP 存取清單可以進一步縮小存取範圍，但無法擴大存取範圍。
• 無伺服器輸出控制：透過控制來自無伺服器計算的輸出網路流量來補充輸入原則。 請參閱 管理網路原則。

• 前端私人連線：在啟用[允許公用網路存取] 時，與輸入原則一起強制執行。 如果 [允許公用網路存取] 已 停用，則會封鎖所有公用輸入，且不會評估輸入原則。 請參見 「配置前端專用連結」。

最佳做法

• 從 試運行模式 開始，在不中斷訪問的情況下觀察衝擊。
• 對於輪換 IP 的 SaaS 用戶端，盡可能使用 身分識別型規則 。
• 先將 拒絕規則 套用至特殊許可權服務主體，以限制爆炸半徑。
• 保持原則名稱清晰一致，以實現長期可維護性。