IP アクセス リストの管理
このガイドでは、Databricks アカウントとワークスペースの IP アクセス リストについて説明します。
IP アクセス リストの概要
この機能には Premium プランが必要です。
デフォルトでは、ユーザーは任意のコンピューターまたは IP アドレスから Databricks に接続できます。 IP アクセスリストを使用すると、ユーザーの IP アドレスに基づいて Databricks アカウントとワークスペースへのアクセスを制限できます。 たとえば、IP アクセス リストを設定して、ユーザーがセキュリティで保護された境界を持つ既存の企業ネットワーク経由でのみ接続できるようにすることができます。 内部 VPN ネットワークが承認されている場合、リモートまたは移動中のユーザーは VPN を使用して企業ネットワークに接続できます。 ユーザーがコーヒー ショップなどの安全でないネットワークから Databricks に接続しようとすると、アクセスがブロックされます。
IP アクセス リストには、次の 2 つの機能があります。
-
アカウントコンソールのIPアクセスリスト :アカウント管理者は、ユーザーが承認されたIPアドレスのセットを介してのみアカウントコンソールUIおよびアカウントレベルの REST APIs に接続できるように、アカウントコンソールのIPアクセスリストを構成できます。 アカウント 管理者は、アカウント コンソールの UI または REST API を使用して、許可およびブロックされた IP アドレスとサブネットを構成できます。 アカウントコンソールのIPアクセスリストの設定を参照してください。
-
ワークスペースの IP アクセス リスト : ワークスペース管理者は、 Databricks ワークスペースの IP アクセス リストを構成して、ユーザーが承認された一連の IP アドレスを介してのみワークスペースまたはワークスペース レベルの APIs に接続できるようにすることができます。 ワークスペース管理者は、REST API を使用して、許可およびブロックされた IP アドレスとサブネットを構成します。 ワークスペースの IP アクセス リストの構成を参照してください。
Private サービス コネクトをご利用の場合、IPアクセスリストはインターネット経由のリクエスト(パブリックIPアドレス)にのみ適用されます。 Private Service connectのトラフィックからプライベートIPアドレスは、IPアクセスリストでブロックできません。 「ワークスペースの Private サービス Connect を有効にする」を参照してください。
アクセスはどのようにチェックされますか?
IP アクセス リスト機能を使用すると、Databricks アカウント コンソールとワークスペースの許可リストとブロック リストを構成できます。
- 許可リスト には、アクセスが許可されているパブリック インターネット上の IP アドレスのセットが含まれています。 複数の IP アドレスを明示的に、またはサブネット全体 (
216.58.195.78/28など) として許可します。 - ブロックリスト には、ブロックするIPアドレスまたはサブネットが含まれます(許可リストに含まれている場合でも)。 この機能は、許可された IP アドレス範囲に、実際には実際のセキュリティで保護されたネットワーク境界の外側にあるインフラストラクチャ IP アドレスの範囲が小さい場合に使用できます。
接続が試行されると、次のようになります。
- まず、すべてのブロックリストがチェックされます。 接続 IP アドレスがいずれかのブロック リストと一致する場合、接続は拒否されます。
- 接続がブロックリストによって拒否されなかった場合 、IP アドレスは許可リストと比較されます。 許可リストが少なくとも1つある場合は、IPアドレスが許可リストと一致する場合にのみ接続が許可されます。 許可リストがない場合は、すべての IP アドレスが許可されます。
この機能が無効になっている場合、アカウントまたはワークスペースへのすべてのアクセスが許可されます。
すべての許可リストとブロックリストを合わせると、アカウントコンソールは最大 1000 個の IP/CIDR 値をサポートします (1 つの CIDR は 1 つの値としてカウントされます)。
IP アクセス リストの変更は、反映されるまでに数分かかる場合があります。