メインコンテンツまでスキップ

コンテキストベースのイングレス制御

備考

ベータ版

この機能はベータ版です。

このページでは、コンテキストベースのイングレス制御の概要を説明します。サーバレス出力制御については、 「サーバレス出力制御とは何ですか?」を参照してください。 。

イングレス ポリシーを構成するには、 「コンテキストベースのイングレス ポリシーの管理」を参照してください。

コンテキストベースのイングレス制御の概要

コンテキストベースのイングレス制御は、IP アクセス リストおよびフロントエンド プライベート接続と連携して動作し、アカウント管理者が、 誰が どこから 電話をかけているのか、Databricks で何にアクセスできる のかなど を組み合わせた許可ルールと拒否ルールを設定できるようにします。これにより、ID、リクエスト タイプ、ネットワーク ソースの信頼できる組み合わせのみがワークスペースに到達できるようになります。コンテキストベースのイングレス制御は、アカウント レベルで構成されます。単一のポリシーで複数のワークスペースを管理できるため、組織全体で一貫した適用が可能になります。

コンテキストベースのイングレスを使用すると、次のことが可能になります。

  • 資格情報に加えて、2 番目の要素 (信頼できるネットワーク ソース) を要求することで、 信頼できないネットワークからのアクセスを阻止します
  • IP 範囲ではなく ID をキーとして 、安定した出力 IP を持たない SaaS クライアントのアクセスを許可します
  • 信頼性の低いソースがDatabricks APIsやワークスペース UI などの特定のスコープのみを使用できるようにすることで、 アクセスを制限します
  • 特権オートメーションを保護する : 高価値のサービスプリンシパルを高信頼ネットワークのみに制限します。
  • 効果的に監査する : Unity Catalogシステムテーブルで詳細な拒否ログをキャプチャし、ブロックされたリクエストを監視します。

コンテキストベースのイングレス制御のコアコンセプト

ネットワークソース

ネットワーク ソースは、リクエストの送信元を定義します。サポートされているタイプは次のとおりです:

  • すべてのパブリック IP : 任意のパブリック インターネット ソース。
  • 選択した IP : 特定の IPv4 アドレスまたは CIDR 範囲。

アクセスタイプ

ルールは、さまざまな受信リクエスト スコープに適用されます。各スコープは、許可または拒否できる受信要求のカテゴリを表します。

  • ワークスペース UI : ブラウザからワークスペースにアクセスします。
  • API : SQLエンドポイント ( JDBC / ODBC ) を含む、 Databricks APIsを介したプログラムによるアクセス。
  • アプリ : Databricks アプリのデプロイメントへのアクセスを許可または拒否します。Databricks アプリを参照してください。このアクセス タイプでは 、[すべてのユーザー] および [サービス プリンシパル identity] オプションのみがサポートされています。

アイデンティティ

ルールはさまざまな ID タイプを対象にすることができます。 Apps および Lakebase コンピュートの アクセス タイプの場合、サポートされるオプションは すべてのユーザーとサービス プリンシパル のみです。

  • すべてのユーザーとサービスプリンシパル : 人間のユーザーとオートメーションの両方。
  • すべてのユーザー : 人間のユーザーのみ。
  • すべてのサービスプリンシパル : オートメーション ID のみ。
  • 選択されたアイデンティティ : 管理者によって選択された特定のユーザーまたはサービスプリンシパル。

ルール評価

  • デフォルトの拒否 : 制限モードでは、明示的に許可されない限りアクセスは拒否されます。
  • 許可の前に拒否 : 両方のタイプのルールが存在する場合は、拒否ルールが優先されます。
  • 納得ポリシー : 各アカウントには、明示的なポリシーの割り当てなしで、対象となるすべてのワークスペースに適用される暫定のイングレス ポリシーがあります。

執行モード

コンテキストベースの入力ポリシーは、次の 2 つのモードをサポートします。

  • すべての製品に適用 : ルールがアクティブに適用され、違反するリクエストはブロックされます。
  • すべての製品のドライ実行モード : 違反はログに記録されますが、リクエストはブロックされないため、ポリシーの影響を安全に評価できます。

監査

拒否されたリクエストまたはドライ実行リクエストは、 system.access.inbound_networkシステムテーブルに記録されます。 各ログエントリには次の内容が含まれます。

  • イベント時刻
  • ワークスペースID
  • リクエストの種類
  • アイデンティティ
  • ネットワークソース
  • アクセスタイプ(DENIED または DRY_RUN_DENIAL)

これらのログをクエリして、ルールが正しく適用されていることを検証し、予期しないアクセス試行を検出できます。

他のコントロールとの関係

  • ワークスペース IP アクセス リスト : コンテキストベースの入力ポリシーが要求を許可する前に評価されます。両方ともリクエストを許可する必要があります。ワークスペース IP アクセス リストは、アクセスをさらに狭めることはできますが、広げることはできません。

  • サーバレス出力制御 : サーバレス コンピュートからの送信ネットワーク トラフィックを制御することで、入力ポリシーを補完します。 「ネットワーク ポリシーの管理」を参照してください。

  • フロントエンド プライベート接続 : パブリック アクセスの有効化が True の場合、イングレス ポリシーと一緒に適用されます。 パブリック アクセスの有効化False の 場合、すべてのパブリック イングレスがブロックされ、イングレス ポリシーは評価されません。「プライベート アクセス設定の管理」を参照してください。

ベストプラクティス

  • アクセスを中断せずに影響を観察するには 、ドライ実行モード から開始します。
  • IP をローテーションする SaaS クライアントの場合は、可能な場合は ID ベースのルール を使用します。
  • まず特権サービスプリンシパルに 拒否ルール を適用して、爆発範囲を制限します。
  • 長期的な保守性を確保するために、ポリシー名を明確かつ一貫したものにします。