メインコンテンツまでスキップ

ユーザーからDatabricksへのネットワーキング

このガイドでは、ユーザーと Databricks ワークスペース間のネットワーク アクセスをカスタマイズする機能について説明します。

ユーザーから Databricks へのネットワークをカスタマイズする理由

によって デフォルト、ユーザーとアプリケーションは任意の IP アドレスから Databricks に接続できます。 ユーザーは、Databricks を使用して重要なデータソースにアクセスする場合があります。 フィッシングや同様の攻撃によってユーザーの資格情報が侵害された場合、ネットワークアクセスを保護することで、アカウント乗っ取りのリスクが大幅に軽減されます。プライベート接続、IP アクセス リスト、ファイアウォールなどの構成は、重要なデータを安全に保つのに役立ちます。

また、認証およびアクセス制御機能を設定して、ユーザーの資格情報を保護することもできます ( 「認証とアクセス制御」を参照)。

注記

Databricks の安全なネットワーク機能を使用するユーザーには、 Premium プランが必要です。

プライベート接続

Databricks ユーザーとコントロール プレーンの間で、Private サービス Connect は、受信要求のソースを制限する強力な制御を提供します。組織が GCP 環境経由でトラフィックをルーティングする場合は、Private サービス Connect を使用して、ユーザーと Databricks コントロール プレーン間の通信がパブリック IP アドレスを通過しないようにすることができます。 「 Databricks へのプライベート接続を構成する」を参照してください。

コンテキストベースのイングレス制御

コンテキストベースのイングレス制御では、ID、リクエストの種類、ネットワーク ソースを組み合わせて、ワークスペースにアクセスできるユーザーを決定するアカウント レベルのポリシーが提供されます。イングレス ポリシーを使用すると、次のことが可能になります。

  • ワークスペース UIAPIs 、または Lakebase コンピュート へのアクセスを許可または拒否します。
  • すべてのユーザー、すべてのサービスプリンシパル、または選択した特定の ID にルールを適用します。
  • すべてのパブリック IP または特定の IP 範囲からのアクセスを許可またはブロックします。
  • dry-実行 モード で実行すると、トラフィックをブロックせずに拒否がログに記録され、 enforced モード で実行すると、信頼できない要求がアクティブにブロックされます。

各アカウントには、対象となるすべてのワークスペースに適用されるデフォルトのイングレス ポリシーが含まれています。ワークスペース IP アクセス リストは引き続きサポートされていますが、アカウント ingress ポリシーがリクエストを許可した後にのみ評価されます。 詳細については、 「コンテキストベースのイングレス制御」を参照してください。

IP アクセス リスト

認証はユーザーの ID を証明しますが、ユーザーのネットワークの場所を強制するものではありません。 セキュリティで保護されていないネットワークからクラウドサービスにアクセスすると、特にユーザーが機密データや個人データへのアクセスを許可されている場合、セキュリティ上のリスクが生じます。 IP アクセス リストを使用すると、ユーザーがセキュリティで保護された境界を持つ既存のネットワーク経由でのみサービスに接続できるように、Databricks ワークスペースを構成できます。

管理者は、Databricks へのアクセスを許可する IP アドレスを指定できます。 また、ブロックする IP アドレスまたはサブネットを指定することもできます。 詳細については、「 IP アクセス リストの管理」を参照してください。

また、Private サービス Connect を使用して、 Databricks ワークスペースへのすべてのパブリック インターネット アクセスをブロックすることもできます。

ファイアウォールルール

多くの組織では、ファイアウォールを使用して、ドメイン名に基づいてトラフィックをブロックしています。 Databricks リソースへのアクセスを確保するには、Databricks ドメイン名のリストを許可する必要があります。 詳細については、「 ドメイン名ファイアウォール規則の構成」を参照してください。

Databricks は、ホスト ヘッダーの検証も実行して、要求が .gcp.databricks.com などの承認された Databricks ドメインを使用していることを確認します。 Databricks ネットワークの外部にあるドメインを使用する要求はブロックされます。 このセキュリティ対策は、潜在的な HTTP ホスト ヘッダー攻撃から保護します。

最終更新