コンテキストベースのイングレスポリシーを管理する
ベータ版
この機能はベータ版です。
このページでは、アカウント管理者がネットワーク ポリシーを作成し、詳細なイングレス ルールを作成し、ワークスペースにポリシーを添付する方法を示します。 コンテキストベースのイングレスの概要については、 「コンテキストベースのイングレス制御」を参照してください。
サーバレス出力制御については、 「サーバレス出力制御とは何ですか?」を参照してください。 。
要件
- アカウント管理者である必要があります。
- Databricks ワークスペースは Enterprise 層にある必要があります。
コンテキストベースのイングレスを有効にする
アカウント管理者として、アカウントでコンテキストベースの Ingress プレビューを有効にします。
- アカウント管理者として、アカウントコンソールにログインします。
- プレビュー をクリックします。
- コンテキストベースのイングレス制御 トグルを オン に設定します。
アクセスネットワークポリシー
ネットワーク ポリシーを使用して、1 つ以上のワークスペースのイングレス ルールとエグレス ルールを定義します。アカウントでネットワーク ポリシーを作成、表示、更新するには:
- アカウントコンソールで、 クラウドリソース をクリックします。
- ネットワーク タブをクリックします。
- [ネットワーク ポリシー] をクリックします。
デフォルトのポリシーは、別のネットワーク ポリシーのないワークスペースに適用されます。イングレスルールを変更することはお勧めしません。代わりに、新しいポリシーを作成し、特定のワークスペースにアタッチします。
ネットワークポリシーを作成する
-
新しいネットワーク ポリシーの作成 をクリックします。
-
ポリシー名 を入力します。
-
Ingress タブをクリックします。出力ルールを設定するには、 「出力ルールの設定」を参照してください。
-
ネットワーク アクセス モードを選択します。
- すべてのソースからのアクセスを許可する : インターネット経由の無制限の受信アクセスを許可します。
- 要求コンテキストに基づいてアクセスを制限する : デフォルトで着信インターネット アクセスを拒否し、明示的な 許可ルール を通じてのみアクセスを許可します。詳細については、 「コンテキストベースのイングレス制御」を参照してください。
ネットワークポリシーを構成する
制限付きアクセス モードを使用する場合:
- ポリシーはデフォルトでアクセスを拒否します。
- ポリシーは、リクエストが明示的な 許可ルール に一致する場合にのみアクセスを許可します。
- Databricks は 、許可ルールの 前にすべての 拒否ルール を評価します。リクエストが拒否ルールに一致する場合、許可ルールにも一致していてもポリシーによって拒否されます。
次のステップは、アクセス制限モードのオプション設定の概要を示しています。
進入ルールを設定する
-
許可ルールまたは拒否ルールを構成するには、[ 許可ルール] または [拒否ルール] リストの上にある [ルールの追加] をクリックします。
-
アクセスタイプを選択してください:
-
ワークスペース UI : ワークスペース UI へのアクセスを許可します。
-
API : Databricks APIsへのアクセスを許可または拒否します。
-
アプリ : Databricks アプリのデプロイメントへのアクセスを許可します。
-
-
アイデンティティの種類を選択してください:
- すべてのユーザーとサービスプリンシパル : ユーザーとサービスプリンシパルの両方にアクセスを許可します。
- すべてのユーザー : ワークスペース内のユーザーのみにアクセスを許可します。
- すべてのサービスプリンシパル :ワークスペース内のサービスプリンシパルのみにアクセスを許可します。
- 選択された ID : 特定のユーザーまたはサービスプリンシパルにのみアクセスを許可します。 サブジェクト リストから ID を選択します。
Lakebase コンピュート および アプリの アクセス タイプの場合、サポートされる ID タイプは すべてのユーザーとサービスプリンシパル のみです。 他の ID オプションは選択できません。
-
ネットワーク ソースを選択してください:
- すべてのパブリック IP : すべてのパブリック IP からのアクセスを許可します。
- 選択した IP : 特定の IP からのアクセスのみを許可します。IP をコンマで区切って入力します。
-
保存 をクリックします。
複数の許可ルールと拒否ルールを定義して、クライアント ID、クライアント ネットワーク ソース、またはアクセス スコープ (アクセス タイプ) に基づいてアクセスを制御できます。
ポリシー適用モードを設定する
Dry-実行モードを使用すると、リソースへのアクセスを中断することなく、ポリシー構成をテストし、受信接続を監視できます。 dry-実行モードが有効な場合、ポリシーに違反するリクエストはログに記録されますが、ブロックされません。
- ポリシー施行モードを すべての製品に対して強制 または すべての製品に対してドライ実行モード に設定します。
- 作成 をクリックします。
ワークスペースにネットワークポリシーをアタッチする
追加の構成でデフォルト ポリシーを更新した場合、既存のネットワーク ポリシーがないワークスペースにそれらのポリシーが自動的に適用されます。
ワークスペースを別のポリシーに関連付けるには、次のステップに従います。
- アカウント コンソールで、 [ワークスペース] をクリックします。
- ワークスペースを選択します。
- ネットワーク ポリシー で、 ネットワーク ポリシーの更新 をクリックします。
- リストから目的のネットワーク ポリシーを選択します。
- [ポリシーの適用]を クリックします。
拒否ログを確認する
拒否ログは Unity Catalog のsystem.access.inbound_network
テーブルに保存されます。これらのログは、受信ネットワーク要求が拒否されたタイミングを追跡します。拒否ログにアクセスするには、Unity Catalog メタストアでアクセス スキーマが有効になっていることを確認します。「アクセス システム テーブル」を参照してください。
拒否イベントを表示するには、以下のような SQL クエリを使用します。dry-実行 ログが有効な場合、クエリは拒否ログと dry-実行 ログの両方を返します。これらはaccess_type
列を使用して区別できます。 拒否ログには DROP 値が含まれ、 dry-実行 ログには DRY_RUN_DENIAL が表示されます。
次の例では、過去 2 時間のログを取得します。
SELECT *
FROM system.access.inbound_network
WHERE event_time >= CURRENT_TIMESTAMP() - INTERVAL 2 HOUR
ORDER BY event_time DESC;
ログはすぐには表示されない場合があります。アクセスしてから拒否ログが表示されるまでに数分の遅延が生じる場合があります。