コンテキストベースのイングレス制御
ベータ版
この機能はベータ版です。
このページでは、コンテキストベースのイングレス制御の概要を説明します。サーバレス出力制御については、 「サーバレス出力制御とは何ですか?」を参照してください。 。
イングレス ポリシーを構成するには、 「コンテキストベースのイングレス ポリシーの管理」を参照してください。
コンテキストベースのイングレス制御の概要
コンテキストベースのイングレス制御は、IP アクセス リストおよびフロントエンド プライベート接続と連携して動作し、アカウント管理者が、 誰が どこから 電話をかけているのか、Databricks で何にアクセスできる のかなど を組み合わせた許可ルールと拒否ルールを設定できるようにします。これにより、ID、リクエスト タイプ、ネットワーク ソースの信頼できる組み合わせのみがワークスペースに到達できるようになります。コンテキストベースのイングレス制御は、アカウント レベルで構成されます。単一のポリシーで複数のワークスペースを管理できるため、組織全体で一貫した適用が可能になります。
コンテキストベースのイングレスを使用すると、次のことが可能になります。
- 資格情報に加えて、2 番目の要素 (信頼できるネットワーク ソース) を要求することで、 信頼できないネットワークからのアクセスを阻止します 。
- IP 範囲ではなく ID をキーとして 、安定した出力 IP を持たない SaaS クライアントのアクセスを許可します 。
- 信頼性の低いソースがDatabricks APIsやワークスペース UI などの特定のスコープのみを使用できるようにすることで、 アクセスを制限します 。
- 特権オートメーションを保護する : 高価値のサービスプリンシパルを高信頼ネットワークのみに制限します。
- 効果的に監査する : Unity Catalogシステムテーブルで詳細な拒否ログをキャプチャし、ブロックされたリクエストを監視します。
コンテキストベースのイングレス制御のコアコンセプト
ネットワークソース
ネットワーク ソースは、リクエストの送信元を定義します。サポートされているタイプは次のとおりです:
- すべてのパブリック IP : 任意のパブリック インターネット ソース。
- 選択した IP : 特定の IPv4 アドレスまたは CIDR 範囲。
アクセスタイプ
ルールは、さまざまな受信リクエスト スコープに適用されます。各スコープは、許可または拒否できる受信要求のカテゴリを表します。
- ワークスペース UI : ブラウザからワークスペースにアクセスします。
- API : SQLエンドポイント ( JDBC / ODBC ) を含む、 Databricks APIsを介したプログラムによるアクセス。
- アプリ : Databricks アプリのデプロイメントへのアクセスを許可または拒否します。Databricks アプリを参照してください。このアクセス タイプでは 、[すべてのユーザー] および [サービス プリンシパル identity] オプションのみがサポートされています。
アイデンティティ
ルールはさまざまな ID タイプを対象にすることができます。 Apps および Lakebase コンピュートの アクセス タイプの場合、サポートされるオプションは すべてのユーザーとサービス プリンシパル のみです。
- すべてのユーザーとサービスプリンシパル : 人間のユーザーとオートメーションの両方。
- すべてのユーザー : 人間のユーザーのみ。
- すべてのサービスプリンシパル : オートメーション ID のみ。
- 選択されたアイデンティティ : 管理者によって選択された特定のユーザーまたはサービスプリンシパル。
ルール評価
- デフォルトの拒否 : 制限モードでは、明示的に許可されない限りアクセスは拒否されます。
- 許可の前に拒否 : 両方のタイプのルールが存在する場合は、拒否ルールが優先されます。
- 納得ポリシー : 各アカウントには、明示的なポリシーの割り当てなしで、対象となるすべてのワークスペースに適用される暫定のイングレス ポリシーがあります。
執行モード
コンテキストベースの入力ポリシーは、次の 2 つのモードをサポートします。
- すべての製品に適用 : ルールがアクティブに適用され、違反するリクエストはブロックされます。
- すべての製品のドライ実行モード : 違反はログに記録されますが、リクエストはブロックされないため、ポリシーの影響を安全に評価できます。
監査
拒否されたリクエストまたはドライ実行リクエストは、 system.access.inbound_network
システムテーブルに記録されます。 各ログエントリには次の内容が含まれます。
- イベント時刻
- ワークスペースID
- リクエストの種類
- アイデンティティ
- ネットワークソース
- アクセスタイプ(DENIED または DRY_RUN_DENIAL)
これらのログをクエリして、ルールが正しく適用されていることを検証し、予期しないアクセス試行を検出できます。
他のコントロールとの関係
-
ワークスペース IP アクセス リスト : コンテキストベースの入力ポリシーが要求を許可する前に評価されます。両方ともリクエストを許可する必要があります。ワークスペース IP アクセス リストは、アクセスをさらに狭めることはできますが、広げることはできません。
-
サーバレス出力制御 : サーバレス コンピュートからの送信ネットワーク トラフィックを制御することで、入力ポリシーを補完します。 「ネットワーク ポリシーの管理」を参照してください。
-
フロントエンド プライベート接続 : パブリック アクセスの有効化が True の場合、イングレス ポリシーと一緒に適用されます。 パブリック アクセスの有効化 が False の 場合、すべてのパブリック イングレスがブロックされ、イングレス ポリシーは評価されません。「プライベート アクセス設定の管理」を参照してください。
ベストプラクティス
- アクセスを中断せずに影響を観察するには 、ドライ実行モード から開始します。
- IP をローテーションする SaaS クライアントの場合は、可能な場合は ID ベースのルール を使用します。
- まず特権サービスプリンシパルに 拒否ルール を適用して、爆発範囲を制限します。
- 長期的な保守性を確保するために、ポリシー名を明確かつ一貫したものにします。