サーバレスコンピュートファイアウォール設定
プレビュー
この機能は現在パブリックプレビュー版です。お試しいただくには、Databricksのアカウントチームにお問い合わせください。
Databricksサーバレス コンピュートは、管理されたネットワーク インフラストラクチャを通じてクラウド リソースに接続します。 クラウド リソースがファイアウォールで保護されている場合は、サーバレス コンピュートからのトラフィックを許可する必要があります。 設定方法はリソースの種類によって異なります。
- ワークスペースのリージョン内の Amazon S3 バケット : S3 バケットポリシーで VPCE OrgPath 条件キーを使用します。
- その他のリソース : Databricksによって公開されたサーバーレスの送信 IP アドレスを許可リストに登録します。
2026 年 2 月中旬から、 Databricks 、これらの IP を取得するためにサポートされている方法である、パブリック エンドポイントでサーバーレス送信 IP をJSON形式で公開します。 以下のガイダンスを参照してください。
パブリック プレビューの安定した IP を使用する場合、またはアカウント コンソールのネットワーク接続構成 (NCC) からコピーした場合は、2026 年 5 月 25 日までに新しい方法に移行する必要があります。2026 年 5 月 25 日以降、従来の IP リストは廃止され、移行が不完全な場合はワークロードが中断される可能性があります。
考慮事項
- DynamoDB の許可リストはプライベートプレビュー段階です。アクセスするには、Databricks アカウント チームにお問い合わせください。
- ファイアウォールの構成は、クラシック コンピュート リソースからの接続にも影響します。 また、リソースのアクセス ルールを更新して、クラシック コンピュート リソースからの接続の IP を許可リストに登録する必要があります。
- サーバレス コンピュートからの接続をテストする前に、ファイアウォール ルールの伝播のための時間を考慮してください。
VPCE OrgPath を使用した S3 バケットへのアクセス
サーバーレス コンピュートは、 VPCエンドポイント (VPCE) を通じてワークスペースと同じリージョンにあるAmazon S3バケットと通信します。 aws:VpceOrgPaths条件キーを使用するS3バケット ポリシーに条件を追加することで、 S3バケットへのアクセスをDatabricksサーバーレス コンピュートのみに制限できます。
VPC組織パスには、 Databricksサーバーレス VPC のみが含まれます。 Databricks が管理するすべての VPC が含まれるわけではありません。S3エンドポイントはリージョン内のイングレスのみ許可するため、アクセスはバケットと同じAWSリージョン内のサーバーレス VPC に制限されたままになります。
他のリソースの送信 IP アドレス
同じリージョン内のAmazon S3またはAmazon DynamoDB 以外のリソースの場合、サーバーレス コンピュートはリージョンのアウトバウンド IP アドレスを使用してリソースに到達します。 Databricks によって公開された CIDR ブロックを許可リストに登録する必要があります。
送信IP範囲を取得する
Databricks 、このプレビューへの登録時に共有される URL で、サーバーレス送信 IP アドレスをJSON形式で公開します。
Databricksは、発信IPアドレスを30日に1回程度更新する場合があります。更新されたIPアドレスは、公開後60日で有効になります。新しいDatabricksリージョンが利用可能になると、そのリージョンのアクティブなIPアドレスがファイルに公開されます。
変更履歴を追跡するには、JSONファイルの連続したバージョンを保存し、現在保存したバージョンと以前に保存したバージョンの間でtimestampSeconds値を比較します。serviceフィールドが:re[Databricks] 、 platformフィールドがaws 、 typeフィールドがoutboundなるエントリを使用してください。次に、 regionをあなたの環境に合わせてください。