Pular para o conteúdo principal

gerenciar listas de acesso IP

Esta página apresenta as listas de acesso IP para o Databricks account e o espaço de trabalho.

Visão geral das listas de acesso IP

nota

Esse recurso requer a camada Enterprise preços.

As listas de acesso IP aumentam a segurança, fornecendo controle sobre quais redes podem se conectar ao seu Databricks account e ao espaço de trabalho. O site default permite conexões de qualquer endereço IP.

  • Restrinja o acesso com base no endereço IP de origem do usuário.
  • Permita conexões somente de redes aprovadas, como escritórios corporativos ou VPNs.
  • Bloqueie tentativas de acesso de redes públicas ou inseguras, como cafeterias.

Há dois recursos de lista de acesso IP:

  • Listas de acesso IP para o console da conta: Administradores account podem configurar listas de acesso IP para o console da conta para permitir que os usuários se conectem à interface do usuário do console da conta e às APIs REST em nível de conta somente por meio de um conjunto de endereços IP aprovados. Administradores account podem usar uma interface do usuário do console da conta ou uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para o console da account.

  • Listas de acesso IP para workspaces: os administradores de workspace podem configurar listas de acesso IP para workspaces Databricks para permitir que os usuários se conectem ao workspace ou às APIs de nível de workspace somente por meio de um conjunto de endereços IP aprovados. Administradores do workspace usam uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para workspaces.

nota

Se você usar o PrivateLink, as listas de acesso IP se aplicam apenas às solicitações pela internet (endereços IP públicos). Endereços IP privados do tráfego PrivateLink não podem ser bloqueados por listas de acesso IP. Para bloquear endereços IP privados específicos do tráfego PrivateLink, use o AWS Network Firewall. Se você quiser restringir a conexão PrivateLink a um conjunto de endpoints PrivateLink registrados, altere o objeto de configurações de acesso privado do seu workspace para usar o nível de acesso ENDPOINT, ou altere a política de entrada baseada em contexto do seu workspace para permitir endpoints privados selecionados . Consulte Configurar conectividade privada clássica ao Databricks.

Controles de entrada baseados em contexto

info

Visualização

Este recurso está em Pré-visualização Pública.

Embora as listas de acesso IP filtrem solicitações com base apenas em endereços IP de origem, os controles de entrada baseados em contexto permitem que os administradores de account combinem múltiplas condições (como identidade do usuário, tipo de solicitação e origem da rede) em regras de permissão e negação. Estas políticas fornecem controle mais granular sobre quem pode acessar seu workspace e de onde.

O controle de entrada baseado em contexto é configurado no nível account . Uma única política pode governar vários espaços de trabalho, garantindo uma aplicação consistente em toda a sua organização.

Ambos os controles se aplicam juntos. Uma solicitação deve ser permitida pela política de entrada baseada em contexto no nível accounte por quaisquer listas de acesso IP workspace . A entrada baseada em contexto pode restringir o acesso com base na identidade ou no escopo da solicitação, e as listas de acesso IP podem restringir o acesso com base na localização da rede. Se qualquer um dos controles bloquear a solicitação, o acesso será negado.

Veja Controle de entrada baseado em contexto.

Como o acesso é verificado?

O recurso de listas de acesso IP permite configurar listas de permissão e listas de bloqueio para o console e o espaço de trabalho do Databricks account :

  • As listas de permissões contêm o conjunto de endereços IP na internet pública que têm acesso permitido. Permita vários endereços IP explicitamente ou como sub-redes inteiras (por exemplo, 216.58.195.78/28).
  • As listas de bloqueio contêm os endereços IP ou sub-redes a serem bloqueados, mesmo que estejam incluídos na lista de permissões. Pode-se usar este recurso se um intervalo de endereço IP permitido incluir um intervalo menor de endereços IP de infraestrutura que, na prática, estão fora do perímetro de rede seguro real.

Quando uma conexão é tentada:

  1. Primeiro, todas as listas de bloqueio são verificadas. Se o endereço IP da conexão corresponder a alguma lista de bloqueio, a conexão será rejeitada.
  2. Se a conexão não foi rejeitada pelas listas de bloqueio, o endereço IP é comparado com as listas de permissões. Se houver pelo menos uma lista de permissões, a conexão será permitida somente se o endereço IP corresponder a uma lista de permissões. Se não houver listas de permissões, todos os endereços IP serão permitidos.

Se o recurso estiver desativado, todo o acesso será permitido ao seu account ou workspace.

Diagrama de fluxo da lista de acesso IP

Para todas as listas de permissões e listas de bloqueios combinadas, o console account suporta um máximo de 1000 valores de IP/CIDR, sendo que um CIDR conta como um único valor.

As alterações nas listas de acesso IP podem levar alguns minutos para entrar em vigor.

Próximos passos