ワークスペースの IP アクセス リストを構成する
この記事では、Databricks ワークスペースの IP アクセス リストを構成する方法について説明します。この記事では、 Databricks CLI を使用して実行できる最も一般的なタスクについて説明します。
IP Access Lists API を使用することもできます。
必要条件
-
この機能には 、Enterprise 価格レベルが必要です。
-
IP アクセス リストは、インターネット プロトコル バージョン 4 (IPv4) アドレスのみをサポートします。
-
コンピュート プレーンがコントロール プレーンへのアクセスに使用するパブリック IP は、許可リストに追加するか、 バックエンドの PrivateLink を構成する必要があります。 そうしないと、クラシック コンピュート リソースを起動できません。
たとえば、顧客管理VPCを設定する場合、サブネットは NAT ゲートウェイまたは同様の方法を使用してパブリック ネットワークへのアウトバウンド アクセスを持つ必要があります。 これらのパブリック IP は、許可リストに含まれている必要があります。 サブネットを参照してください。または、Databricks マネージド VPC を使用し、パブリック IP にアクセスするようにマネージド NAT ゲートウェイを構成する場合、それらの IP は許可リストに存在する必要があります。 詳細については、 Databricks コミュニティの投稿を参照してください。
ワークスペースでIPアクセスリスト機能が有効になっているかどうかを確認します
ワークスペースでIPアクセスリスト機能が有効になっているかどうかを確認するには:
databricks workspace-conf get-status enableIpAccessLists
ワークスペースの IP アクセスリスト機能を有効または無効にする
JSON リクエスト本文で、 enableIpAccessLists
を true
(有効) または false
(無効) に指定します。
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
IP アクセス リストの追加
IP アクセス リスト機能が有効になっていて、ワークスペースに許可リストまたはブロック リストがない場合、すべての IP アドレスが許可されます。 IP アドレスを許可リストに追加すると、リストにないすべての IP アドレスがブロックされます。 意図しないアクセス制限を避けるために、変更を慎重に確認してください。
コンピュート プレーンがコントロール プレーンへのアクセスに使用するパブリック IP は、許可リストに追加する必要があります。
IP アクセス リストには、ラベル (リストの名前) とリスト タイプがあります。 リストの種類は、 ALLOW
(許可リスト) または BLOCK
(ブロック リスト、許可リストに含まれていても除外することを意味します) のいずれかです。
たとえば、許可リストを追加するには、次のようにします。
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
IPアクセスリストのリスト
databricks ip-access-lists list
IPアクセスリストを更新してください
更新する次の値のうち少なくとも 1 つを指定します。
label
— このリストのラベル。list_type
—ALLOW
(許可リスト) またはBLOCK
(ブロックリスト、許可リストに含まれていても除外することを意味する) のどちらかです。ip_addresses
—JSON IP アドレスと 範囲のCIDR 配列 (文字列値)。enabled
— このリストを有効にするかどうかを指定します。 パスtrue
またはfalse
.
レスポンスは、渡されたオブジェクトのコピーで、IDと変更日のフィールドが追加されています。
たとえば、リストを無効にするには、次のようにします。
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
IPアクセスリストを削除する
IPアクセスを削除するには:
databricks ip-access-lists delete <list-id>
次のステップ
- アカウントコンソールのIPアクセスリストの設定 :アカウントコンソールのアクセスのIP制限を設定して、アカウントレベルの設定と APIsにアクセスできるネットワークを制御します。 アカウントコンソールのIPアクセスリストの設定を参照してください。
- プライベート接続を構成する : PrivateLink を使用して、パブリック インターネットをバイパスして、仮想ネットワークから AWS サービスへの安全で分離されたアクセスを確立します。「 AWS PrivateLink を使用してプライベート接続を有効にする」を参照してください。
- 顧客管理VPC: IP アクセス リストの互換性を確保するために、適切な NAT ゲートウェイ設定を使用して独自のVPCを構成します。「顧客管理VPCの設定」を参照してください。