注意
此功能需要 進階層。
本頁說明無伺服器輸出控制如何可讓您管理來自無伺服器計算資源的輸出網路連線。
如需輸入控制,請參閱 環境定義型輸入控制。
無伺服器輸出控制可讓您管理無伺服器工作負載的輸出連線,以減少數據外流的風險,藉此強化您的安全性狀態。
使用網路原則,您可以:
- 強制執行預設拒絕策略:啟用針對因特網、雲端儲存和 Databricks API 連線的預設拒絕政策,以精細控制輸出存取。
- 簡化管理:為多個無伺服器產品的所有無伺服器工作負載定義一致的出口控制策略。
- 輕鬆地大規模管理:集中管理您在多個工作區的姿態,並為您的 Databricks 帳戶強制執行預設政策。
- 安全實作原則:在完全強制執行之前,先評估任何新原則在試執行模式中的影響,以降低風險。
下列無伺服器產品支援無伺服器輸出控制:筆記本、工作流程、SQL 倉儲、Lakeflow Spark 宣告式管線、Mosaic AI 模型服務、資料品質監視,以及支援有限的 Databricks 應用程式。
注意
在工作區上啟用輸出限制可防止 Databricks Apps 存取未經授權的資源。 不過,實作輸出限制可能會影響應用程式功能。
網路原則概觀
網路原則是在帳戶層級套用的組態物件。 雖然單一網路原則可以與多個工作區相關聯,但每個工作區一次只能連結至一個原則。
網路原則會定義相關聯工作區內無伺服器工作負載的網路存取模式。 主要模式有兩種:
完整存取:無伺服器工作負載對因特網和其他網路資源具有不受限制的輸出存取。
限制存取:輸出存取限制為:
- Unity 目錄外部位置:在可從工作區存取的 Unity 目錄中設定的外部位置。 Unity 目錄區域必須與 Azure 記憶體帳戶區域相同。
- 明確定義的目的地:FQDN 和 Azure 儲存帳戶列在網路政策中。
政策不僅管理和規範出站存取。 它們還可以包括輸入控制,以確定網路流量如何進入系統。 如需設定輸入控制的詳細資訊,請參閱 環境定義型輸入控制。
安全性狀態
當網路原則設定為受限制的存取模式時,會嚴格控制來自無伺服器工作負載的輸出網路連線。
| 行為 | 詳情 |
|---|---|
| 默認拒絕輸出連線 | 無伺服器工作負載只能存取下列專案:透過 Unity 目錄外部位置設定的目的地,預設會允許這些位置、原則中定義的 FQDN 或儲存位置,以及工作負載相同工作區的工作區 API。 Unity 目錄區域必須與 Azure 記憶體帳戶區域相同。 跨工作區存取遭到拒絕。 |
| 沒有直接記憶體存取權 | 禁止從 UDF 和筆記本中的用戶程式代碼直接存取。 請改用 Databricks 抽象概念,例如 Unity 目錄或 DBFS 掛接。 DBFS 掛接允許安全存取網路原則中列出的 Azure 記憶體帳戶中的數據。 |
| 默認允許的目的地 | 您一律可以存取與您的工作區、基本系統數據表和範例數據集相關聯的 Azure 記憶體帳戶(只讀)。 |
| 私人端點的政策執行 | 透過私人端點的輸出存取也會受限於網路原則中定義的規則。 目的地必須列在 Unity 資料目錄或規則內。 這可確保在所有網路存取方法之間一致的安全性強制執行。 |