サーバレスコンピュートファイアウォール設定
Databricks サーバレス コンピュートは、マネージド ネットワーク インフラストラクチャを介してクラウド リソースに接続します。ファイアウォールがクラウド リソースを保護している場合、サーバレス コンピュートからのトラフィックを許可する必要があります。構成方法はリソースの種類によって異なります。
-
ワークスペースのリージョンにある Amazon S3 バケット :S3 バケット ポリシーで VPCE OrgPath 条件キーを使用します。
-
その他のリソース : Databricks が公開している送信IPアドレスを許可リストに登録します。
専用のプライベート接続をリソースに必要とする場合は、IPアドレスを許可リストに追加する代わりに、アウトバウンドPrivate Link接続を使用してリソースにアクセスしてください。「 VPC内のリソースへのプライベート接続を構成する」を参照してください。
VPCE OrgPath を使用して S3 バケット アクセスを構成します
サーバーレス コンピュートは、 VPCエンドポイント (VPCE) を通じてワークスペースと同じリージョンにあるAmazon S3バケットと通信します。 aws:VpceOrgPaths条件キーを使用するS3バケット ポリシーに条件を追加することで、 S3バケットへのアクセスをDatabricksサーバーレス コンピュートのみに制限できます。
Databricks のサーバレス OrgPath
o-g29axo4oyt/r-gu8r/ou-gu8r-g4va1rkr/ou-gu8r-hvyilq7g/
VPCE OrgPath には Databricks のサーバレス VPC が含まれています。各VPCにはS3ゲートウェイエンドポイントがあります。ゲートウェイエンドポイントは、作成されたリージョンでのみ使用できます。
送信 IP アドレスを使用して他のリソースへのアクセスを構成します
2026年2月中旬から、Databricksは送信IPをJSON形式でパブリックエンドポイントで公開します。これは、これらのIPを取得するためのサポートされている方法です。
パブリックプレビューの安定したIPを使用している場合、またはアカウントコンソールでネットワーク接続構成 (NCC) からそれらをコピーした場合、2026年5月25日までに新しい方法に移行する必要があります。2026年5月25日以降、レガシーIPリストは廃止され、不完全な移行によりワークロードが中断される可能性があります。
ワークスペースと同じリージョンにある Amazon S3 または Amazon DynamoDB 以外のリソースの場合、サーバレス コンピュートはパブリック IP アドレスを使用してリソースにアクセスします。
サーバレスがファイアウォールで保護されたリソースにアクセスできるようにするには、Databricks が公開している CIDR ブロックを許可リストに追加する必要があります。公開されているアウトバウンド IP アドレスの詳細については、サーバレスコンピュートファイアウォールプレビュー用のアウトバウンド IP を参照してください。
環境の送信IPアドレスを見つけます
-
ip-ranges.jsonをダウンロードします。 -
ワークスペースに適用されるエントリにJSONをフィルタリングします。以下のエントリのみを保持します。
serviceはDatabrickstypeはoutboundregionワークスペースのリージョンと一致しますplatform一致aws
-
リソース ファイアウォールの一致するエントリから、
ipv4Prefixes(CIDRブロック)を許可リストに追加します。
許可リストを最新の状態に保つために、更新を自動化します
許可リストへの更新を自動化する必要があります。Databricksは時間の経過とともにこれらのIPを変更するため、静的な一度限りのコピーは最終的にサーバレス接続を中断します。更新は30日に1回公開され、新しいIPは公開後60日以内にアクティブになり、新しいリージョンが定期的に追加されます。許可リストを最新の状態に保つには:
- スケジュールに基づいて
ip-ranges.jsonをフェッチします(例: 30日ごと)。 timestampSecondsフィールドを保存されたコピーと比較して、変更を検出します。- 変更されている場合は、
platformとregionの IP が変更されていないか確認してください。 - 新しいIPでファイアウォールの許可リストを更新します。
- 次の比較のためにファイルを保存します。
考慮事項
サーバレス コンピュート用のファイアウォールを構成する前に、以下の考慮事項を確認してください。
-
ファイアウォールを構成すると、クラシック コンピュート リソースからの接続にも影響します。クラシック コンピュート リソースからの接続に使用される IP を許可するように、リソース アクセス ルールも更新する必要があります。
-
サーバレス コンピュートからの接続をテストする前に、ファイアウォール ルールの伝播のための時間を考慮してください。
-
DynamoDB の許可リストはプライベートプレビュー段階です。アクセスするには、Databricks アカウント チームにお問い合わせください。
次のステップ
- VPC内のリソースへのプライベート接続を構成する :PrivateLink を使用して、サーバレス コンピュートからVPC内のリソースへのセキュアで分離されたアクセスを確立します。VPC内のリソースへのプライベート接続を構成するを参照してください。
- プライベートエンドポイントルールを管理する :ネットワーク接続構成のプライベートエンドポイントルールを表示、更新、および削除します。プライベートエンドポイントルールを管理するを参照してください。