此頁面介紹 Azure Databricks 帳戶和工作區的 IP 存取清單。
IP 存取清單概觀
注意
此功能需要進階版方案。
IP 存取清單可透過控制哪些網路可以連線到您的 Azure Databricks 帳戶和工作區,來增強安全性。 預設值允許來自任何IP位址的連線。
- 根據使用者的來源IP位址限制存取。
- 只允許來自公司辦公室或 VPN 等已核准網路的連線。
- 封鎖來自不安全或公用網路的存取嘗試,例如咖啡店。
有兩個IP存取清單功能:
- 帳戶控制台的IP存取清單(公開預覽):帳戶管理員可以設定帳戶控制台的IP存取清單,讓使用者只能透過一組核准的IP位址連線到帳戶控制台 UI 和帳戶層級 REST API。 帳戶擁有者和帳戶管理員可以使用帳戶主控台 UI 或 REST API 來設定允許和封鎖的 IP 位址和子網。 請參閱 設定帳戶主控台的IP存取清單。
- 工作區的IP存取清單:工作區系統管理員可以設定 Azure Databricks 工作區的IP存取清單,讓使用者只能透過一組核准的IP位址連線到工作區或工作區層級 API。 工作區系統管理員會使用 REST API 來設定允許和封鎖的 IP 位址和子網。 請參閱設定工作區的 IP 存取清單。
注意
如果您使用 Private Link,IP 存取清單只適用於透過因特網的要求(公用 IP 位址)。 私人連結流量的私人IP位址無法由IP存取清單封鎖。 若要控制誰可以使用私人連結存取 Azure Databricks,您可以檢查已建立哪些私人端點 請參閱 Azure 私人連結概念。
上下文為基礎的存取控制
這很重要
這項功能目前處於 公開預覽版。
雖然 IP 存取清單僅根據來源 IP 位址過濾請求,但基於上下文的輸入控制可讓帳戶管理員將多個條件(例如使用者身分、請求類型和網路來源)組合成允許和拒絕規則。 這些原則可讓您更精細地控制誰可以存取您的工作區以及從何處存取。
內容型輸入控制是在帳戶層級設定。 單一原則可以控管多個工作區,確保整個組織的執行一致。
這兩個控制項同時套用。 帳戶層級的上下文為基礎輸入政策和任何工作區IP存取清單都必須允許這個請求。 基於上下文的入口可以根據身分或請求範圍限制訪問,而IP存取清單可以根據網路位置限制存取。 如果任一控制項封鎖要求,則會拒絕存取。
請參閱 環境定義型輸入控制。
如何檢查存取權?
IP 存取清單功能可讓您設定 Azure Databricks 帳戶主控台和工作區的允許清單和封鎖清單:
-
允許清單 包含允許存取之公用因特網上的一組IP位址。 明確允許多個IP位址或作為整個子網(例如
216.58.195.78/28)。 - 封鎖清單 包含要封鎖的IP位址或子網,即使它們包含在允許清單中也一樣。 如果允許的 IP 位址範圍中實際包含在安全網路周邊之外的較小基礎結構 IP 位址範圍,您可以使用這項功能。
嘗試連線時:
- 首先會檢查所有封鎖清單。 如果連線 IP 位址符合任何封鎖清單,則會拒絕連線。
- 如果封鎖清單未拒絕連線,IP 位址會與允許清單進行比較。 如果至少有一個允許清單,則只有在IP位址符合允許清單時,才允許連線。 如果沒有允許清單,則會允許所有IP位址。
如果停用此功能,則所有存取皆允許對您的帳戶或工作區進行操作。
針對合併的所有允許清單和封鎖清單,帳戶控制台最多支援 1000 個 IP/CIDR 值,其中一個 CIDR 會計算為單一值。
IP 存取清單的變更可能需要幾分鐘的時間才會生效。
後續步驟
- 配置帳戶控制台的 IP 訪問列表: 設置帳戶控制台訪問的 IP 限制,以控制哪些網絡可以訪問帳戶級別的設置和 API。 請參閱 設定帳戶主控台的IP存取清單。
- 設定工作區的 IP 存取清單:實作工作區存取的 IP 限制,以控制哪些網路可以連線到 Azure Databricks 工作區。 請參閱設定工作區的 IP 存取清單。
- 設定私人連線:使用 Private Link 從虛擬網路建立安全且隔離的 Azure 服務存取,略過公用因特網。 請參閱 Azure Private Link 概念。