メインコンテンツまでスキップ

サーバレスコンピュートファイアウォール設定

Databricks サーバレス コンピュートは、マネージド ネットワーク インフラストラクチャを介してクラウド リソースに接続します。ファイアウォールがクラウド リソースを保護している場合、サーバレス コンピュートからのトラフィックを許可する必要があります。構成方法はリソースの種類によって異なります。

  • ワークスペースのリージョンにある Amazon S3 バケット :S3 バケット ポリシーで VPCE OrgPath 条件キーを使用します。

  • その他のリソース : Databricks が公開している送信IPアドレスを許可リストに登録します。

注記

専用のプライベート接続をリソースに必要とする場合は、IPアドレスを許可リストに追加する代わりに、アウトバウンドPrivate Link接続を使用してリソースにアクセスしてください。「 VPC内のリソースへのプライベート接続を構成する」を参照してください。

VPCE OrgPath を使用して S3 バケット アクセスを構成します

サーバーレス コンピュートは、 VPCエンドポイント (VPCE) を通じてワークスペースと同じリージョンにあるAmazon S3バケットと通信します。 aws:VpceOrgPaths条件キーを使用するS3バケット ポリシーに条件を追加することで、 S3バケットへのアクセスをDatabricksサーバーレス コンピュートのみに制限できます。

Databricks のサーバレス OrgPath

o-g29axo4oyt/r-gu8r/ou-gu8r-g4va1rkr/ou-gu8r-hvyilq7g/
注記

VPCE OrgPath には Databricks のサーバレス VPC が含まれています。各VPCにはS3ゲートウェイエンドポイントがあります。ゲートウェイエンドポイントは、作成されたリージョンでのみ使用できます

送信 IP アドレスを使用して他のリソースへのアクセスを構成します

重要

2026年2月中旬から、Databricksは送信IPをJSON形式でパブリックエンドポイントで公開します。これは、これらのIPを取得するためのサポートされている方法です。

パブリックプレビューの安定したIPを使用している場合、またはアカウントコンソールでネットワーク接続構成 (NCC) からそれらをコピーした場合、2026年5月25日までに新しい方法に移行する必要があります。2026年5月25日以降、レガシーIPリストは廃止され、不完全な移行によりワークロードが中断される可能性があります。

ワークスペースと同じリージョンにある Amazon S3 または Amazon DynamoDB 以外のリソースの場合、サーバレス コンピュートはパブリック IP アドレスを使用してリソースにアクセスします。

サーバレスがファイアウォールで保護されたリソースにアクセスできるようにするには、Databricks が公開している CIDR ブロックを許可リストに追加する必要があります。公開されているアウトバウンド IP アドレスの詳細については、サーバレスコンピュートファイアウォールプレビュー用のアウトバウンド IP を参照してください。

環境の送信IPアドレスを見つけます

  1. ip-ranges.jsonをダウンロードします。

  2. ワークスペースに適用されるエントリにJSONをフィルタリングします。以下のエントリのみを保持します。

    • serviceDatabricks
    • typeoutbound
    • region ワークスペースのリージョンと一致します
    • platform 一致 aws
  3. リソース ファイアウォールの一致するエントリから、ipv4Prefixes(CIDRブロック)を許可リストに追加します。

許可リストを最新の状態に保つために、更新を自動化します

許可リストへの更新を自動化する必要があります。Databricksは時間の経過とともにこれらのIPを変更するため、静的な一度限りのコピーは最終的にサーバレス接続を中断します。更新は30日に1回公開され、新しいIPは公開後60日以内にアクティブになり、新しいリージョンが定期的に追加されます。許可リストを最新の状態に保つには:

  1. スケジュールに基づいてip-ranges.jsonをフェッチします(例: 30日ごと)。
  2. timestampSecondsフィールドを保存されたコピーと比較して、変更を検出します。
  3. 変更されている場合は、platformregion の IP が変更されていないか確認してください。
  4. 新しいIPでファイアウォールの許可リストを更新します。
  5. 次の比較のためにファイルを保存します。

考慮事項

サーバレス コンピュート用のファイアウォールを構成する前に、以下の考慮事項を確認してください。

  • ファイアウォールを構成すると、クラシック コンピュート リソースからの接続にも影響します。クラシック コンピュート リソースからの接続に使用される IP を許可するように、リソース アクセス ルールも更新する必要があります。

  • サーバレス コンピュートからの接続をテストする前に、ファイアウォール ルールの伝播のための時間を考慮してください。

  • DynamoDB の許可リストはプライベートプレビュー段階です。アクセスするには、Databricks アカウント チームにお問い合わせください。

次のステップ