メインコンテンツまでスキップ

IP アクセス リストの管理

このガイドでは、Databricks アカウントとワークスペースの IP アクセス リストについて説明します。

IP アクセス リストの概要

注記

この機能には 、Enterprise 価格レベルが必要です。

デフォルトでは、ユーザーは任意のコンピューターまたは IP アドレスから Databricks に接続できます。 IP アクセスリストを使用すると、ユーザーの IP アドレスに基づいて Databricks アカウントとワークスペースへのアクセスを制限できます。 たとえば、IP アクセス リストを設定して、ユーザーがセキュリティで保護された境界を持つ既存の企業ネットワーク経由でのみ接続できるようにすることができます。 内部 VPN ネットワークが承認されている場合、リモートまたは移動中のユーザーは VPN を使用して企業ネットワークに接続できます。 ユーザーがコーヒー ショップなどの安全でないネットワークから Databricks に接続しようとすると、アクセスがブロックされます。

IP アクセス リストには、次の 2 つの機能があります。

  • アカウントコンソールのIPアクセスリスト :アカウント管理者は、ユーザーが承認されたIPアドレスのセットを介してのみアカウントコンソールUIおよびアカウントレベルの REST APIs に接続できるように、アカウントコンソールのIPアクセスリストを構成できます。 アカウント 管理者は、アカウント コンソールの UI または REST API を使用して、許可およびブロックされた IP アドレスとサブネットを構成できます。 アカウントコンソールのIPアクセスリストの設定を参照してください。

  • ワークスペースの IP アクセス リスト : ワークスペース管理者は、 Databricks ワークスペースの IP アクセス リストを構成して、ユーザーが承認された一連の IP アドレスを介してのみワークスペースまたはワークスペース レベルの APIs に接続できるようにすることができます。 ワークスペース管理者は、REST API を使用して、許可およびブロックされた IP アドレスとサブネットを構成します。 ワークスペースの IP アクセス リストの構成を参照してください。

注記

PrivateLink を使用する場合、IP アクセス リストはインターネット経由のリクエスト (パブリック IP アドレス) にのみ適用されます。 PrivateLink トラフィックのプライベート IP アドレスは、IP アクセス リストでブロックできません。 PrivateLink トラフィックから特定のプライベート IP アドレスをブロックするには、AWS Network Firewall を使用します。 PrivateLink 接続を登録済みの PrivateLink エンドポイントのセットに制限する場合は、ワークスペースのプライベート アクセス設定オブジェクトを ENDPOINT アクセス レベルを使用するように変更します。 「 AWS PrivateLink を使用してプライベート接続を有効にする」を参照してください。

アクセスはどのようにチェックされますか?

IP アクセス リスト機能を使用すると、Databricks アカウント コンソールとワークスペースの許可リストとブロック リストを構成できます。

  • 許可リスト には、アクセスが許可されているパブリック インターネット上の IP アドレスのセットが含まれています。 複数の IP アドレスを明示的に、またはサブネット全体 ( 216.58.195.78/28など) として許可します。
  • ブロックリスト には、ブロックするIPアドレスまたはサブネットが含まれます(許可リストに含まれている場合でも)。 この機能は、許可された IP アドレス範囲に、実際には実際のセキュリティで保護されたネットワーク境界の外側にあるインフラストラクチャ IP アドレスの範囲が小さい場合に使用できます。

接続が試行されると、次のようになります。

  1. まず、すべてのブロックリストがチェックされます。 接続 IP アドレスがいずれかのブロック リストと一致する場合、接続は拒否されます。
  2. 接続がブロックリストによって拒否されなかった場合 、IP アドレスは許可リストと比較されます。 許可リストが少なくとも1つある場合は、IPアドレスが許可リストと一致する場合にのみ接続が許可されます。 許可リストがない場合は、すべての IP アドレスが許可されます。

この機能が無効になっている場合、アカウントまたはワークスペースへのすべてのアクセスが許可されます。

IPアクセスリストのフロー図

すべての許可リストとブロックリストを合わせると、アカウントコンソールは最大 1000 個の IP/CIDR 値をサポートします (1 つの CIDR は 1 つの値としてカウントされます)。

IP アクセス リストの変更は、反映されるまでに数分かかる場合があります。

最終更新