メインコンテンツまでスキップ
最終更新

サーバレスコンピュートファイアウォール設定

備考

プレビュー

この機能は パブリック プレビュー段階です。

Databricksサーバレス コンピュートは、管理されたネットワーク インフラストラクチャを通じてクラウド リソースに接続します。 クラウド リソースがファイアウォールで保護されている場合は、サーバレス コンピュートからのトラフィックを許可する必要があります。 設定方法はリソースの種類によって異なります。

  • ワークスペースのリージョン内の Amazon S3 バケット : S3 バケットポリシーで VPCE OrgPath 条件キーを使用します。
  • その他のリソース : Databricksによって公開されたサーバーレスの送信 IP アドレスを許可リストに登録します。
重要

2026 年 2 月中旬から、 Databricks 、これらの IP を取得するためにサポートされている方法である、パブリック エンドポイントでサーバーレス送信 IP をJSON形式で公開します。 以下のガイダンスを参照してください。

パブリックプレビューの安定したIPを使用している場合、またはアカウントコンソールでネットワーク接続構成 (NCC) からそれらをコピーした場合、2026年5月25日までに新しい方法に移行する必要があります。2026年5月25日以降、レガシーIPリストは廃止され、不完全な移行によりワークロードが中断される可能性があります。

考慮事項

  • DynamoDB の許可リストはプライベートプレビュー段階です。アクセスするには、Databricks アカウント チームにお問い合わせください。
  • ファイアウォールの構成は、クラシック コンピュート リソースからの接続にも影響します。リソースアクセスルールを更新して、クラシック コンピュート リソースからの接続の IP を許可リストに追加します。
  • サーバレス コンピュートからの接続をテストする前に、ファイアウォール ルールの伝播のための時間を考慮してください。

VPCE OrgPath を使用した S3 バケットへのアクセス

サーバーレス コンピュートは、 VPCエンドポイント (VPCE) を通じてワークスペースと同じリージョンにあるAmazon S3バケットと通信します。 aws:VpceOrgPaths条件キーを使用するS3バケット ポリシーに条件を追加することで、 S3バケットへのアクセスをDatabricksサーバーレス コンピュートのみに制限できます。

Databricks のサーバレス OrgPath

o-g29axo4oyt/r-gu8r/ou-gu8r-g4va1rkr/ou-gu8r-hvyilq7g/
注記

VPCE OrgPath には Databricks のサーバレス VPC が含まれています。各VPCにはS3ゲートウェイエンドポイントがあります。ゲートウェイエンドポイントは、作成されたリージョンでのみ使用できます

他のリソースの送信 IP アドレス

同じリージョン内のAmazon S3またはAmazon DynamoDB 以外のリソースの場合、サーバーレス コンピュートはリージョンのアウトバウンド IP アドレスを使用してリソースに到達します。 Databricks によって公開された CIDR ブロックを許可リストに登録する必要があります。

送信IP範囲を取得する

Databricks は、このパブリックプレビューへの登録時に共有される URL で、サーバレスのアウトバウンド IP アドレスを JSON 形式で公開しています。

Databricksは、発信IPアドレスを30日に1回程度更新する場合があります。更新されたIPアドレスは、公開後60日で有効になります。新しいDatabricksリージョンが利用可能になると、そのリージョンのアクティブなIPアドレスがファイルに公開されます。

ファイアウォールを最新の状態に保つには、更新頻度に合わせてJSONファイルを取得し、変更履歴を追跡するためにファイルを保存する自動化プロセスを作成してください。現在と以前に保存されたバージョンのtimestampSeconds値を比較して更新を検出し、次に地域固有のIPアドレスが変更されたかどうかを確認します。必要に応じてファイアウォールを更新してください。環境の送信IPアドレスを見つけるには、 serviceDatabricksplatformawstypeoutbound 、そしてregionワークスペースリージョンと一致するエントリをフィルタリングします。

次のステップ

このページの見出し