サーバレスコンピュートファイアウォール設定
プレビュー
この機能はパブリック プレビュー段階です。お試しいただくには、Databricks アカウント チームにお問い合わせください。
Databricksサーバレス コンピュートは、管理されたネットワーク インフラストラクチャを通じてクラウド リソースに接続します。 クラウド リソースがファイアウォールで保護されている場合は、サーバレス コンピュートからのトラフィックを許可する必要があります。 設定方法はリソースの種類によって異なります。
- ワークスペースのリージョン内の Amazon S3 バケット : S3 バケットポリシーで VPCE OrgPath 条件キーを使用します。
- その他のリソース : Databricksによって公開されたサーバーレスの送信 IP アドレスを許可リストに登録します。
2026 年 2 月中旬から、 Databricks 、これらの IP を取得するためにサポートされている方法である、パブリック エンドポイントでサーバーレス送信 IP をJSON形式で公開します。 以下のガイダンスを参照してください。
パブリック プレビューの安定した IP を使用する場合、またはアカウント コンソールのネットワーク接続構成 (NCC) からコピーした場合は、2026 年 5 月 25 日までに新しい方法に移行する必要があります。2026 年 5 月 25 日以降、従来の IP リストは廃止され、移行が不完全な場合はワークロードが中断される可能性があります。
考慮事項
- DynamoDB の許可リストはプライベートプレビュー段階です。アクセスするには、Databricks アカウント チームにお問い合わせください。
- ファイアウォールの構成は、クラシック コンピュート リソースからの接続にも影響します。 また、リソースのアクセス ルールを更新して、クラシック コンピュート リソースからの接続の IP を許可リストに登録する必要があります。
- サーバレス コンピュートからの接続をテストする前に、ファイアウォール ルールの伝播のための時間を考慮してください。
VPCE OrgPath を使用した S3 バケットへのアクセス
サーバーレス コンピュートは、 VPCエンドポイント (VPCE) を通じてワークスペースと同じリージョンにあるAmazon S3バケットと通信します。 aws:VpceOrgPaths条件キーを使用するS3バケット ポリシーに条件を追加することで、 S3バケットへのアクセスをDatabricksサーバーレス コンピュートのみに制限できます。
VPC組織パスには、 Databricksサーバーレス VPC のみが含まれます。 Databricks が管理するすべての VPC が含まれるわけではありません。S3エンドポイントはリージョン内のイングレスのみ許可するため、アクセスはバケットと同じAWSリージョン内のサーバーレス VPC に制限されたままになります。
他のリソースの送信 IP アドレス
同じリージョン内のAmazon S3またはAmazon DynamoDB 以外のリソースの場合、サーバーレス コンピュートはリージョンのアウトバウンド IP アドレスを使用してリソースに到達します。 Databricks によって公開された CIDR ブロックを許可リストに登録する必要があります。
送信IP範囲を取得する
Databricks 、このプレビューへの登録時に共有される URL で、サーバーレス送信 IP アドレスをJSON形式で公開します。
新しい Databricks リージョンが利用可能になると、そのアクティブな IP がファイルに公開されます。変更を追跡するには、JSON ファイルの連続バージョンを保存し、現在のバージョンと以前に保存したバージョンの間でtimestampSeconds値を比較します。serviceフィールドがDatabricks 、 platformフィールドがaws 、 typeフィールドがoutboundであるエントリを使用します。次に、 regionを環境に合わせてください。