ユーザーからDatabricksへのネットワーキング
このガイドでは、ユーザーとそのDatabricksワークスペースおよびアカウントレベルのリソース間のネットワークアクセスをカスタマイズするための機能について説明します。
デフォルトでは、ユーザーとアプリケーションは任意の IP アドレスから Databricks に接続できます。ユーザーはDatabricksを使用して重要なデータ ソースにアクセスする場合があります。 フィッシングや同様の攻撃によってユーザーの認証情報が漏洩した場合、ネットワーク アクセスを保護することでアカウント乗っ取りのリスクが大幅に軽減されます。プライベート接続、IP アクセス リスト、ファイアウォールなどの構成は、重要なデータを安全に保つのに役立ちます。
ユーザーの資格情報を保護するために、認証およびアクセス制御機能を構成することもできます。 「認証とアクセス制御」を参照してください。
Databricks の安全なネットワーク機能を利用するユーザーには 、Enterprise プランが必要です。
プライベート接続
Databricks ユーザーとコントロールプレーンの間では、PrivateLink は受信要求のソースを制限する強力な制御を提供します。組織が AWS 環境経由でトラフィックをルーティングする場合は、PrivateLink を使用して、ユーザーと Databricks コントロールプレーン間の通信がパブリック IP アドレスを通過しないようにすることができます。ワークスペースのインバウンド PrivateLink を構成するを参照してください。
コンテキストベースのイングレス制御
プレビュー
この機能は パブリック プレビュー段階です。
コンテキストベースのイングレス制御は、ID、リクエストの種類、およびネットワークソースを組み合わせて、ワークスペースまたはアカウントレベルのリソースにアクセスできるユーザーを決定するアカウントレベルのポリシーを提供します。
イングレスポリシーでは、次のことが可能です。
-
ワークスペース UI 、 APIs 、または Lakebase コンピュート へのアクセスを許可または拒否します。
-
すべてのユーザー、すべてのサービスプリンシパル、または選択した特定の ID にルールを適用します。
-
すべてのパブリック IP または特定の IP 範囲からのアクセスを許可またはブロックします。
-
dry-実行 モード で実行すると、トラフィックをブロックせずに拒否がログに記録され、 enforced モード で実行すると、信頼できない要求がアクティブにブロックされます。
-
アカウントレベルのUI および APIs へのアクセスを許可または拒否します(たとえば、アカウントコンソールへのアクセス)。
-
すべての登録済みVPCエンドポイント、または特定の登録済みVPCエンドポイントからのアクセスを許可またはブロックします。
各アカウントには、対象となるすべてのワークスペースに適用されるデフォルトのイングレスポリシーが含まれています。
各アカウントには、すべてのアカウントレベルのリソースに適用される単一のaccount-policyも含まれています。ワークスペースおよびアカウントコンソールのIPアクセスリストは引き続きサポートされていますが、コンテキストベースのイングレスポリシーがリクエストを許可した後にのみ評価されます。
詳細については、「コンテキストベースのイングレス制御」を参照してください。
IP アクセス リスト
認証はユーザーの身元を証明しますが、ユーザーのネットワークの場所を強制するものではありません。セキュリティで保護されていないネットワークからクラウド サービスにアクセスすると、特にユーザーが機密データや個人データへのアクセスを許可されている場合に、セキュリティ上のリスクが生じます。IP アクセス リストを使用すると、ユーザーが安全な境界を持つ既存のネットワーク経由でのみサービスに接続するように Databricks ワークスペースを構成できます。
IPアクセスリストを使用して、アカウントレベルのリソースへのアクセスを制御することもできます。
管理者は、Databricks へのアクセスを許可する IP アドレスを指定できます。 また、ブロックする IP アドレスまたはサブネットを指定することもできます。 詳細については、「 IP アクセス リストの管理」を参照してください。
また、PrivateLink を使用して、Databricks ワークスペースへのすべてのパブリック インターネット アクセスをブロックすることもできます。
ファイアウォールルール
多くの組織では、ファイアウォールを使用して、ドメイン名に基づいてトラフィックをブロックしています。 Databricks リソースへのアクセスを確保するには、Databricks ドメイン名のリストを許可する必要があります。 詳細については、「 ドメイン名ファイアウォール規則の構成」を参照してください。
Databricks は、ホスト ヘッダーの検証も実行して、要求が .cloud.databricks.com などの承認された Databricks ドメインを使用していることを確認します。 Databricks ネットワークの外部にあるドメインを使用する要求はブロックされます。 このセキュリティ対策は、潜在的な HTTP ホスト ヘッダー攻撃から保護します。