メインコンテンツまでスキップ
最終更新

ユーザーからDatabricksへのネットワーキング

このガイドでは、ユーザーと Databricks ワークスペース間のネットワーク アクセスをカスタマイズする機能について説明します。

ユーザーから Databricks へのネットワークをカスタマイズする理由

デフォルトでは、ユーザーとアプリケーションは任意の IP アドレスから Databricks に接続できます。ユーザーは、Databricks を使用して重要なデータ ソースにアクセスする可能性があります。 フィッシングや同様の攻撃によってユーザーの認証情報が漏洩した場合、ネットワーク アクセスを保護することでアカウント乗っ取りのリスクが大幅に軽減されます。プライベート接続、IP アクセス リスト、ファイアウォールなどの構成は、重要なデータを安全に保つのに役立ちます。

ユーザーの資格情報を保護するために、認証およびアクセス制御機能を構成することもできます。 「認証とアクセス制御」を参照してください。

注記

Databricks の安全なネットワーク機能を使用するユーザーには、 Premium プランが必要です。

プライベート接続

Databricksユーザーとコントロール プレーンの間に、Private Service Connect は受信リクエストのソースを制限する強力な制御を提供します。 組織がGCP環境を介してトラフィックをルーティングする場合は、Private Services Connect を使用して、ユーザーとDatabricksコントロール プレーン間の通信がパブリック IP アドレスを通過しないようにすることができます。 「フロントエンド プライベート サービス接続の構成」を参照してください。

コンテキストベースのイングレス制御

コンテキストベースのイングレス制御では、ID、リクエストの種類、ネットワーク ソースを組み合わせて、ワークスペースにアクセスできるユーザーを決定するアカウント レベルのポリシーが提供されます。イングレス ポリシーを使用すると、次のことが可能になります。

  • ワークスペース UIAPIs 、または Lakebase コンピュート へのアクセスを許可または拒否します。
  • すべてのユーザー、すべてのサービスプリンシパル、または選択した特定の ID にルールを適用します。
  • すべてのパブリック IP または特定の IP 範囲からのアクセスを許可またはブロックします。
  • dry-実行 モード で実行すると、トラフィックをブロックせずに拒否がログに記録され、 enforced モード で実行すると、信頼できない要求がアクティブにブロックされます。

各アカウントには、対象となるすべてのワークスペースに適用されるデフォルトのイングレス ポリシーが含まれています。ワークスペース IP アクセス リストは引き続きサポートされていますが、アカウント ingress ポリシーがリクエストを許可した後にのみ評価されます。 詳細については、 「コンテキストベースのイングレス制御」を参照してください。

IP アクセス リスト

認証はユーザーの身元を証明しますが、ユーザーのネットワークの場所を強制するものではありません。セキュリティで保護されていないネットワークからクラウド サービスにアクセスすると、特にユーザーが機密データや個人データへのアクセスを許可されている場合に、セキュリティ上のリスクが生じます。IP アクセス リストを使用すると、ユーザーが安全な境界を持つ既存のネットワーク経由でのみサービスに接続するように re[Databricks] ワークスペースを構成できます。

管理者は、Databricks へのアクセスを許可する IP アドレスを指定できます。 また、ブロックする IP アドレスまたはサブネットを指定することもできます。 詳細については、「 IP アクセス リストの管理」を参照してください。

また、Private サービス Connect を使用して、 Databricks ワークスペースへのすべてのパブリック インターネット アクセスをブロックすることもできます。

ファイアウォールルール

多くの組織では、ファイアウォールを使用して、ドメイン名に基づいてトラフィックをブロックしています。 Databricks リソースへのアクセスを確保するには、Databricks ドメイン名のリストを許可する必要があります。 詳細については、「 ドメイン名ファイアウォール規則の構成」を参照してください。

Databricks は、ホスト ヘッダーの検証も実行して、要求が .gcp.databricks.com などの承認された Databricks ドメインを使用していることを確認します。 Databricks ネットワークの外部にあるドメインを使用する要求はブロックされます。 このセキュリティ対策は、潜在的な HTTP ホスト ヘッダー攻撃から保護します。