Поделиться через


Управление списками доступа к IP-адресам

На этой странице представлены списки IP-доступа для учетной записи и рабочих областей Azure Databricks.

Обзор списков IP-доступа

Примечание.

Для этой функции требуется план "Премиум".

Списки IP-доступа повышают безопасность, обеспечивая контроль над тем, какие сети могут подключаться к учетной записи Azure Databricks и рабочим областям. Значение по умолчанию разрешает подключения с любого IP-адреса.

  • Ограничить доступ на основе исходного IP-адреса пользователя.
  • Разрешить подключения только из утвержденных сетей, таких как корпоративные офисы или виртуальные сети.
  • Блокировать попытки доступа от небезопасных или общедоступных сетей, таких как кафе.

Существует две функции списка контроля доступа IP:

  • списки IP-доступа для консоли учетной записи (общедоступная предварительная версия). Администраторы учетных записей могут настроить списки IP-доступа для консоли учетной записи, чтобы пользователи могли подключаться к пользовательскому интерфейсу консоли учетной записи и REST API уровня учетной записи только через набор утвержденных IP-адресов. Владельцы учетных записей и администраторы учетных записей могут использовать пользовательский интерфейс консоли учетной записи или REST API для настройки разрешенных и заблокированных IP-адресов и подсетей. См. Настройка списков доступа к IP-адресам для консоли учетной записи.
  • списки IP-доступа для рабочих областей. Администраторы рабочей области могут настроить списки IP-доступа для рабочих областей Azure Databricks, чтобы пользователи могли подключаться к рабочей области или API уровня рабочей области только через набор утвержденных IP-адресов. Администраторы рабочей области используют REST API для настройки разрешенных и заблокированных IP-адресов и подсетей. См . статью "Настройка списков IP-доступа для рабочих областей".

Примечание.

Если вы используете Приватный канал, списки доступа к IP-адресам применяются только к запросам через Интернет (общедоступные IP-адреса). Частные IP-адреса из трафика Private Link не могут быть заблокированы списками доступа по IP. Чтобы контролировать, кто может получить доступ к Azure Databricks с помощью приватной связи, можно проверить, какие частные конечные точки были созданы. См. "Включение внутреннего и интерфейсного подключений Azure Private Link".

Как проверяется доступ?

Функция списков IP-адресов позволяет настроить списки разрешений и списки блокировок для консоли учетной записи Azure Databricks и рабочих областей:

  • списки разрешений содержат набор IP-адресов в общедоступном Интернете, которым разрешен доступ. Разрешить несколько IP-адресов явным образом или как целые подсети (например 216.58.195.78/28).
  • списки блокировок содержат IP-адреса или подсети для блокировки, даже если они включены в список разрешений. Можно использовать эту функцию, если разрешенный диапазон IP-адресов может включать в себя меньший диапазон IP-адресов инфраструктуры, которая на практике находится за пределами фактического периметра защищенной сети.

При попытке установить подключение:

  1. Сначала проверяются все списки блокировок. Если IP-адрес подключения соответствует любому списку блокировок, подключение отклоняется.
  2. Если соединение не было отклонено списками блокировки, IP-адрес сравнивается с списками разрешений. Если есть хотя бы один список разрешений, подключение разрешено только в том случае, если IP-адрес соответствует списку разрешений. Если списки разрешений отсутствуют, разрешены все IP-адреса.

Если функция отключена, доступ к вашей учетной записи или рабочей области разрешен.

диаграмма потока списка IP доступа

Для всех списков разрешений и списков блокировок в сочетании консоль учетной записи поддерживает не более 1000 значений IP/CIDR, где одно значение CIDR считается одним значением.

Изменения списков IP-доступа могут занять несколько минут.