Pular para o conteúdo principal

Configurar listas de acesso IP para o espaço de trabalho

Esta página descreve como configurar listas de acesso IP para o espaço de trabalho Databricks . Este artigo discute as tarefas mais comuns que você pode executar usando o Databricks CLI.

O senhor também pode usar a API IP Access Lists.

nota

listas de acesso IP do espaço de trabalho e controles de entrada baseados em contexto no nível accountsão aplicados juntos. Uma solicitação deve ser permitida por ambos os controles para ter sucesso.

Os controles de entrada baseados em contexto fornecem segurança mais refinada combinando identidade, tipo de solicitação e condições de origem da rede. Ela é configurada no nível account e uma única política pode governar vários espaços de trabalho, garantindo uma aplicação consistente em toda a sua organização. A Databricks recomenda usar controles de entrada baseados em contexto como seu método principal para gerenciar o acesso. Veja Controle de entrada baseado em contexto.

As listas de acesso IP do espaço de trabalho ainda podem ser usadas para adicionar uma camada adicional de restrição com base apenas no endereço IP, mas não podem expandir o acesso além do que a entrada baseada em contexto permite.

Requisitos

  • Esse recurso requer a camada Enterprise preços.

  • As listas de acesso IP suportam somente endereços do Protocolo de Internet versão 4 (IPv4).

  • Todos os IPs públicos que o plano compute usa para acessar o plano de controle devem ser adicionados a uma lista de permissões ou o senhor deve configurar o PrivateLink de back-end. Caso contrário, o clássico compute recurso não poderá ser lançado.

    Por exemplo, quando o senhor configura um gerenciador de clientes VPC, as sub-redes devem ter acesso de saída à rede pública usando um gateway NAT ou uma abordagem semelhante. Esses IPs públicos devem estar presentes em uma lista de permissões. Consulte Sub-redes. Como alternativa, se o senhor usar Databricks-gerenciar VPC e configurar o gateway NAT gerenciar para acessar IPs públicos, esses IPs deverão estar presentes em uma lista de permissões. Para obter mais informações, consulte a postagemDatabricks comunidade.

Verifique se o site workspace tem o recurso de lista de acesso IP ativado

Para verificar se o site workspace tem o recurso de lista de acesso IP ativado:

Bash
databricks workspace-conf get-status enableIpAccessLists

Ativar ou desativar o recurso de lista de acesso IP para um workspace

Em um corpo de solicitação JSON, especifique enableIpAccessLists como true (ativado) ou false (desativado).

Bash
databricks workspace-conf set-status --json '{
  "enableIpAccessLists": "true"
}'

Adicionar uma lista de acesso IP

Quando o recurso de listas de acesso IP está ativado e não há listas de permissão ou de bloqueio para o site workspace, todos os endereços IP são permitidos. Adicionar endereços IP à lista de permissões bloqueia todos os endereços IP que não estão na lista. Analise as alterações cuidadosamente para evitar restrições de acesso não intencionais.

Todos os IPs públicos que o plano compute usa para acessar o plano de controle devem ser adicionados a uma lista de permissões.

As listas de acesso IP têm um rótulo, que é um nome para a lista, e um tipo de lista. O tipo de lista é ALLOW (lista de permissões) ou BLOCK (uma lista de bloqueio, o que significa excluir mesmo se estiver na lista de permissões).

Por exemplo, para adicionar uma lista de permissões:

Bash
databricks ip-access-lists create --json '{
  "label": "office",
  "list_type": "ALLOW",
  "ip_addresses": [
    "1.1.1.0/24",
    "2.2.2.2/32"
  ]
}'

Listar listas de acesso IP

Bash
databricks ip-access-lists list

Atualizar uma lista de acesso IP

Especifique pelo menos um dos seguintes valores para atualizar:

  • label - rótulo para esta lista.
  • list_typeALLOW (lista de permissões) ou BLOCK (lista de bloqueio, o que significa excluir mesmo se estiver na lista de permissões).
  • ip_addresses - Uma matriz JSON de endereços IP e intervalos CIDR, como valores de strings.
  • enabled — Especifica se essa lista está habilitada. Passe true ou false.

A resposta é uma cópia do objeto que você passou com campos adicionais para a ID e as datas de modificação.

Por exemplo, para desativar uma lista:

Bash
databricks  ip-access-lists update <list-id> --json '{
  "enabled": false
}'

Excluir uma lista de acesso IP

Para excluir um acesso IP:

Bash
databricks  ip-access-lists delete <list-id>

O que vem a seguir

  • Configure listas de acesso IP para o console account : defina restrições de IP para o acesso ao console account para controlar quais redes podem acessar as configurações no nível accounte APIs. Consulte Configurar listas de acesso IP para o console account.
  • Configure a conectividade privada : utilize o PrivateLink para estabelecer acesso seguro e isolado a um serviço AWS a partir da sua rede virtual, contornando a Internet pública. Consulte Ativar conectividade privada usando o AWS PrivateLink.
  • Configure o cliente-gerenciar VPC : Configure seu próprio VPC com as configurações corretas do gateway NAT para garantir a compatibilidade da lista de acesso IP. Consulte Configurar um cliente-gerenciar VPC.
Última atualização em