メインコンテンツまでスキップ

IP アクセス リストの管理

このガイドでは、Databricks アカウントとワークスペースの IP アクセス リストについて説明します。

IP アクセス リストの概要

注記

この機能には Premium プランが必要です。

デフォルトでは、ユーザーは任意のコンピューターまたは IP アドレスから Databricks に接続できます。 IP アクセスリストを使用すると、ユーザーの IP アドレスに基づいて Databricks アカウントとワークスペースへのアクセスを制限できます。 たとえば、IP アクセス リストを設定して、ユーザーがセキュリティで保護された境界を持つ既存の企業ネットワーク経由でのみ接続できるようにすることができます。 内部 VPN ネットワークが承認されている場合、リモートまたは移動中のユーザーは VPN を使用して企業ネットワークに接続できます。 ユーザーがコーヒー ショップなどの安全でないネットワークから Databricks に接続しようとすると、アクセスがブロックされます。

IP アクセス リストには、次の 2 つの機能があります。

  • アカウントコンソールのIPアクセスリスト :アカウント管理者は、ユーザーが承認されたIPアドレスのセットを介してのみアカウントコンソールUIおよびアカウントレベルの REST APIs に接続できるように、アカウントコンソールのIPアクセスリストを構成できます。 アカウント 管理者は、アカウント コンソールの UI または REST API を使用して、許可およびブロックされた IP アドレスとサブネットを構成できます。 アカウントコンソールのIPアクセスリストの設定を参照してください。

  • ワークスペースの IP アクセス リスト : ワークスペース管理者は、 Databricks ワークスペースの IP アクセス リストを構成して、ユーザーが承認された一連の IP アドレスを介してのみワークスペースまたはワークスペース レベルの APIs に接続できるようにすることができます。 ワークスペース管理者は、REST API を使用して、許可およびブロックされた IP アドレスとサブネットを構成します。 ワークスペースの IP アクセス リストの構成を参照してください。

注記

Private サービス コネクトをご利用の場合、IPアクセスリストはインターネット経由のリクエスト(パブリックIPアドレス)にのみ適用されます。 Private Service connectのトラフィックからプライベートIPアドレスは、IPアクセスリストでブロックできません。 「ワークスペースの Private サービス Connect を有効にする」を参照してください。

アクセスはどのようにチェックされますか?

IP アクセス リスト機能を使用すると、Databricks アカウント コンソールとワークスペースの許可リストとブロック リストを構成できます。

  • 許可リスト には、アクセスが許可されているパブリック インターネット上の IP アドレスのセットが含まれています。 複数の IP アドレスを明示的に、またはサブネット全体 ( 216.58.195.78/28など) として許可します。
  • ブロックリスト には、ブロックするIPアドレスまたはサブネットが含まれます(許可リストに含まれている場合でも)。 この機能は、許可された IP アドレス範囲に、実際には実際のセキュリティで保護されたネットワーク境界の外側にあるインフラストラクチャ IP アドレスの範囲が小さい場合に使用できます。

接続が試行されると、次のようになります。

  1. まず、すべてのブロックリストがチェックされます。 接続 IP アドレスがいずれかのブロック リストと一致する場合、接続は拒否されます。
  2. 接続がブロックリストによって拒否されなかった場合 、IP アドレスは許可リストと比較されます。 許可リストが少なくとも1つある場合は、IPアドレスが許可リストと一致する場合にのみ接続が許可されます。 許可リストがない場合は、すべての IP アドレスが許可されます。

この機能が無効になっている場合、アカウントまたはワークスペースへのすべてのアクセスが許可されます。

IPアクセスリストのフロー図

すべての許可リストとブロックリストを合わせると、アカウントコンソールは最大 1000 個の IP/CIDR 値をサポートします (1 つの CIDR は 1 つの値としてカウントされます)。

IP アクセス リストの変更は、反映されるまでに数分かかる場合があります。