IP アクセス リストの管理
このページでは、Databricks アカウントとワークスペースの IP アクセス リストについて説明します。
IP アクセス リストの概要
この機能には Premium プランが必要です。
IP アクセスリストは、Databricks アカウントとワークスペースに接続できるネットワークを制御することで、セキュリティを強化します。デフォルトでは、任意のIPアドレスからの接続が許可されます。
- ユーザーのソース IP アドレスに基づいてアクセスを制限します。
- 企業のオフィスやVPNなどの承認されたネットワークからの接続のみを許可します。
- コーヒーショップなどの安全でないネットワークや公共のネットワークからのアクセス試行をブロックします。
IP アクセス リストには、次の 2 つの機能があります。
-
アカウントコンソールのIPアクセスリスト:アカウント管理者は、アカウントコンソールのIPアクセスリストを構成して、ユーザーが承認されたIPアドレスのセットを介してのみアカウントコンソールUIおよびアカウントレベルのREST APIsに接続できるようにすることができます。アカウント管理者は、アカウントコンソールのUIまたはREST APIを使用して、許可およびブロックされたIPアドレスとサブネットを構成できます。アカウントコンソールのIPアクセスリストの設定を参照してください。
-
ワークスペースの IP アクセス リスト: ワークスペース管理者は、Databricks ワークスペースの IP アクセス リストを構成して、承認された IP アドレスのセットを介してのみ、ユーザーがワークスペースまたはワークスペースレベルの APIs に接続できるようにすることができます。ワークスペース管理者は、REST APIを使用して、許可およびブロックされたIPアドレスとサブネットを構成します。ワークスペースの IP アクセス リストの構成を参照してください。
Private サービス コネクトをご利用の場合、IPアクセスリストはインターネット経由のリクエスト(パブリックIPアドレス)にのみ適用されます。 Private Service connectのトラフィックからプライベートIPアドレスは、IPアクセスリストでブロックできません。 「ワークスペースの Private サービス Connect を有効にする」を参照してください。
コンテキストベースのイングレス制御
プレビュー
この機能は パブリック プレビュー段階です。
IP アクセス リストが送信元 IP アドレスのみに基づいてリクエストをフィルタリングするのに対し、コンテキストベースのイングレス制御を使用すると、アカウント管理者は複数の条件 (ユーザー ID、リクエストタイプ、ネットワークソースなど) を組み合わせて許可ルールと拒否ルールを設定できます。これらのポリシーにより、誰がどの場所からワークスペースにアクセスできるかについて、よりきめ細かな制御が可能になります。
コンテキストベースのイングレス制御は、アカウント レベルで構成されます。単一のポリシーで複数のワークスペースを管理できるため、組織全体で一貫した適用が可能になります。
両方のコントロールが同時に適用されます。リクエストは、アカウント レベルのコンテキストベースのイングレス ポリシーと、ワークスペース IP アクセス リストによって許可される必要があります。コンテキストベースのイングレスでは、ID またはリクエスト スコープに基づいてアクセスを制限でき、IP アクセス リストでは、ネットワークの場所に基づいてアクセスを制限できます。どちらかの制御によって要求がブロックされた場合、アクセスは拒否されます。
コンテキストベースのイングレス制御を参照してください。
アクセスはどのようにチェックされますか?
IP アクセス リスト機能を使用すると、Databricks アカウント コンソールとワークスペースの許可リストとブロック リストを構成できます。
- 許可リストには、パブリックインターネット上でアクセスが許可されているIPアドレスのセットが含まれています。複数のIPアドレスを明示的に、またはサブネット全体として許可します(例:
216.58.195.78/28)。 - ブロックリストには、許可リストに含まれている場合でもブロックするIPアドレスまたはサブネットが含まれています。許可されたIPアドレス範囲に、実際には実際のセキュアなネットワーク境界の外にある、より小さなインフラストラクチャIPアドレスの範囲が含まれている場合に、この機能を使用することができます。
接続が試行されると、次のようになります。
- 最初にすべてのブロックリストがチェックされます。接続IPアドレスがいずれかのブロックリストと一致する場合、接続は拒否されます。
- 接続がブロックリストによって拒否されなかった場合、IPアドレスは許可リストと比較されます。少なくとも1つの許可リストがある場合、接続はIPアドレスが許可リストと一致する場合にのみ許可されます。許可リストがない場合、すべてのIPアドレスが許可されます。
この機能が無効になっている場合、アカウントまたはワークスペースへのすべてのアクセスが許可されます。

すべての許可リストとブロックリストを合わせると、アカウントコンソールは最大 1000 個の IP/CIDR 値をサポートします (1 つの CIDR は 1 つの値としてカウントされます)。
IP アクセス リストの変更は、反映されるまでに数分かかる場合があります。
次のステップ
- アカウントコンソールのIPアクセスリストを構成する:アカウントコンソールアクセスに対するIP制限を設定して、どのネットワークがアカウントレベルの設定とAPIsにアクセスできるかを制御します。アカウントコンソールのIPアクセスリストの設定を参照してください。
- ワークスペースの IP アクセス リストを構成する: ワークスペースアクセスに IP 制限を実装して、どのネットワークが Databricks ワークスペースに接続できるかを制御します。ワークスペースの IP アクセス リストの構成を参照してください。
- プライベート接続を構成する: Private Service Connect を使用して、仮想ネットワークから GCP サービスへの安全で隔離されたアクセスを確立し、パブリックインターネットをバイパスします。ワークスペースの Private Service Connect を有効にするを参照してください。