ワークスペースの IP アクセス リストを構成する
この記事では、Databricks ワークスペースの IP アクセス リストを構成する方法について説明します。 この記事では、 Databricks CLI で実行できる最も一般的なタスクについて説明します。 IP Access Lists API を使用することもできます。
必要条件
-
この機能には Premium プランが必要です。
-
IP アクセス リストは、インターネット プロトコル バージョン 4 (IPv4) アドレスのみをサポートします。
-
コンピュート プレーンがコントロール プレーンへのアクセスに使用するパブリック IP は、許可リストに追加するか、 バックエンドのプライベート サービス コネクトを構成する必要があります。 そうしないと、クラシック コンピュート リソースを起動できません。
たとえば、顧客管理VPCを構成する場合、サブネットは Google Cloud NAT を使用してパブリック ネットワークへの送信アクセス権を持つか、同様のアプローチを使用する必要があります。 これらのパブリック IP は、許可リストに含まれている必要があります。 「エグレス要件」を参照してください。または、Databricks マネージド VPC を使用し、パブリック IP にアクセスするようにマネージド NAT ゲートウェイを構成する場合、それらの IP は許可リストに存在する必要があります。 詳細については、 Databricks コミュニティの投稿を参照してください。
ワークスペースでIPアクセスリスト機能が有効になっているかどうかを確認します
ワークスペースでIPアクセスリスト機能が有効になっているかどうかを確認するには:
databricks workspace-conf get-status enableIpAccessLists
ワークスペースの IP アクセスリスト機能を有効または無効にする
JSON リクエスト本文で、 enableIpAccessLists を true (有効) または false (無効) に指定します。
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
IP アクセス リストの追加
IP アクセス リスト機能が有効になっていて、ワークスペースに許可リストまたはブロック リストがない場合、すべての IP アドレスが許可されます。 IP アドレスを許可リストに追加すると、リストにないすべての IP アドレスがブロックされます。 コンピュートプレーンがコントロールプレーンにアクセスするために使用するすべてのパブリック IP を必ず許可リストに追加してください。 意図しないアクセス制限を避けるために、変更を慎重に確認してください。
IP アクセス リストには、ラベル (リストの名前) とリスト タイプがあります。 リストの種類は、 ALLOW (許可リスト) または BLOCK (ブロック リスト、許可リストに含まれていても除外することを意味します) のいずれかです。
たとえば、許可リストを追加するには、次のようにします。
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
IPアクセスリストのリスト
databricks ip-access-lists list
IPアクセスリストを更新してください
更新する次の値のうち少なくとも 1 つを指定します。
label— このリストのラベル。list_type—ALLOW(許可リスト) またはBLOCK(ブロックリスト、許可リストに含まれていても除外することを意味する) のどちらかです。ip_addresses—JSON IP アドレスと 範囲のCIDR 配列 (文字列値)。enabled— このリストを有効にするかどうかを指定します。 パスtrueまたはfalse.
レスポンスは、渡されたオブジェクトのコピーで、IDと変更日のフィールドが追加されています。
たとえば、リストを無効にするには、次のようにします。
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
IPアクセスリストを削除する
IPアクセスを削除するには:
databricks ip-access-lists delete <list-id>