メインコンテンツまでスキップ
最終更新

コンテキストベースのイングレス制御

備考

プレビュー

この機能は パブリック プレビュー段階です。

注記

この機能には、エンタープライズ層が必要です。

このページでは、コンテキストベースのイングレス制御の概要を説明します。サーバレス出力制御については、 サーバレス出力制御とは何ですか?を参照してください。

イングレス ポリシーを構成するには、 コンテキストベースのイングレス ポリシーの管理を参照してください。

コンテキストベースのイングレス制御の概要

コンテキストベースのイングレス制御は、IPアクセスリストおよびフロントエンドのプライベート接続と連携して動作し、アカウント管理者が、発信 、発信 、およびDatabricks内でアクセス可能な もの を組み合わせた許可ルールと拒否ルールを設定できるようにします。これにより、信頼できるID、リクエストタイプ、ネットワークソースの組み合わせのみがワークスペースにアクセスできるようになります。コンテキストベースのイングレス制御は、アカウントレベルで設定されます。1つのポリシーで複数のワークスペースを管理できます。

コンテキストベースのイングレスを使用すると、次のことが可能になります。

  • 資格情報に加えて、2 番目の要素 (信頼できるネットワーク ソース) を要求することで、 信頼できないネットワークからのアクセスを阻止します
  • IP 範囲ではなく ID をキーとして、 静的な出力 IP を持たない SaaS クライアントのアクセスを許可します
  • 信頼性の低いソースがDatabricks APIsやワークスペース UI などの特定のスコープのみを使用できるようにすることで、 アクセスを制限します
  • 特権オートメーションを保護する : 高価値のDatabricksプリンシパルを高信頼ネットワークのみに制限します。
  • 効果的に監査する : Unity Catalogシステムテーブルで詳細な拒否ログをキャプチャし、ブロックされたリクエストを監視します。

コンテキストベースのイングレス制御のコアコンセプト

ネットワークソース

ネットワーク ソースは、リクエストの送信元を定義します。サポートされているタイプは次のとおりです:

  • すべてのパブリック IP : 任意のパブリック インターネット ソース。
  • 選択した IP : 特定の IPv4 アドレスまたは CIDR 範囲。

アクセスタイプ

ルールは、受信リクエストの範囲によって異なります。各スコープは、許可または拒否できる受信リクエストのカテゴリを表します。

  • ワークスペース UI : ブラウザからワークスペースにアクセスします。

  • API : SQLエンドポイント ( JDBC / ODBC ) を含む、 Databricks APIsを介したプログラムによるアクセス。 すべてのAPIsターゲットにすることも、アプリ、ダッシュボード、モデルサービングなどの特定のAPIスコープをターゲットにすることもできます。

  • アプリ : Databricks アプリのデプロイメントへのアクセスを許可または拒否します。Databricks アプリを参照してください。このアクセス タイプでは、 すべてのユーザーおよび サービス プリンシパル アイデンティティオプションのみがサポートされています。

  • Lakebase コンピュート : Lakebase データベース インスタンスへの接続。 Lakebase インスタンスを参照してください。このアクセス タイプでは、 すべてのユーザーおよびサービス プリンシパル アイデンティティオプションのみがサポートされています。

アイデンティティ

ルールはさまざまな ID タイプを対象にすることができます。 Apps および Lakebase コンピュートの アクセス タイプの場合、サポートされるオプションは すべてのユーザーとサービス プリンシパル のみです。

  • すべてのユーザーとDatabricksプリンシパル : 人間のユーザーとオートメーションの両方。
  • すべてのユーザー : 人間のユーザーのみ。
  • すべてのDatabricksサービスプリンシパル : オートメーション ID のみ。
  • 選択された ID : 管理者によって選択された特定のユーザーまたはDatabricksサービス プリンシパル。

ルール評価

  • デフォルトの拒否 : 制限モードでは、明示的に許可されない限りアクセスは拒否されます。
  • 許可の前に拒否 : 拒否ルールを使用すると、許可ルールの例外を定義できます。
  • デフォルトポリシー : 各アカウントには、明示的なポリシーの割り当てなしで、対象となるすべてのワークスペースに適用される暫定のイングレス ポリシーがあります。

強制モード

コンテキストベースのイングレスポリシーでは、次の2つのモードが有効になります。

  • すべての製品に適用 :Databricksはルールを積極的に適用し、違反するリクエストをブロックします。
  • すべての製品のドライ実行モード : Databricks違反をログに記録しますが、リクエストはブロックしません。 このモードを使用して、ポリシーを施行する前にポリシーの影響を評価します。
注記

ネットワークポリシーは、一度に1つの適用モードのみをサポートします。

監査

拒否されたリクエストまたはドライ実行リクエストは、 system.access.inbound_networkシステムテーブルに記録されます。 各ログエントリには次の内容が含まれます。

  • イベント時刻
  • ワークスペースID
  • リクエストの種類
  • アイデンティティ
  • ネットワークソース
  • アクセスタイプ(DENIED または DRY_RUN_DENIAL)

これらのログを照会して、ルールが期待どおりに機能していることを確認し、予期しないアクセス試行を検出してください。

他のコントロールとの関係

  • ワークスペース IP アクセス リスト : コンテキストベースの入力ポリシーが要求を許可する前に評価されます。両方ともリクエストを許可する必要があります。ワークスペース IP アクセス リストは、アクセスをさらに狭めることはできますが、広げることはできません。

  • サーバレス出力制御 : サーバレス コンピュートからの送信ネットワーク トラフィックを制御することで、入力ポリシーを補完します。 「ネットワーク ポリシーの管理」を参照してください。

  • フロントエンド プライベート接続 : パブリック アクセスの有効化が True の場合、イングレス ポリシーと一緒に適用されます。 パブリック アクセスの有効化False の 場合、すべてのパブリック イングレスがブロックされ、イングレス ポリシーは評価されません。「プライベート アクセス設定の管理」を参照してください。

ベストプラクティス

  • アクセスを中断せずに影響を観察するには、 ドライランモード から開始します。
  • IP をローテーションする SaaS クライアントの場合は、可能な場合は ID ベースのルール を使用します。
  • 最初に特権のあるDatabricksプリンパルシに 拒否ルール を適用して、影響を受ける領域を制限します。
  • ポリシー名は明確かつ一貫したものにしてください。
このページの見出し