gerenciar listas de acesso IP
Este guia apresenta as listas de acesso IP para o Databricks account e o espaço de trabalho.
Visão geral das listas de acesso IP
Esse recurso requer o plano Premium.
Pelo default, os usuários podem se conectar ao Databricks de qualquer computador ou endereço IP. As listas de acesso IP permitem restringir o acesso ao Databricks account e ao espaço de trabalho com base no endereço IP de um usuário. Por exemplo, você pode configurar listas de acesso IP para permitir que os usuários se conectem somente por meio de redes corporativas existentes com um perímetro seguro. Se a rede VPN interna for autorizada, os usuários remotos ou em viagem poderão usar a VPN para se conectar à rede corporativa. Se um usuário tentar se conectar à Databricks de uma rede insegura, como de uma cafeteria, o acesso será bloqueado.
Há dois recursos de lista de acesso IP:
-
Listas de acesso IP para o console account : os administradores de conta podem configurar listas de acesso IP para o console account para permitir que os usuários se conectem à interface de usuário do console account e ao nível account REST APIs somente por meio de um conjunto de endereços IP aprovados. Os administradores de conta podem usar uma UI de console account ou um REST API para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para o console account.
-
Listas de acesso IP para o espaço de trabalho: os administradores do espaço de trabalho podem configurar listas de acesso IP para o espaço de trabalho Databricks para permitir que os usuários se conectem ao workspace ou workspace-level APIs somente por meio de um conjunto de endereços IP aprovados. Os administradores do espaço de trabalho usam o site REST API para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para o espaço de trabalho.
Se o senhor usar o serviço Private connect, as listas de acesso IP se aplicarão somente a solicitações pela Internet (endereços IP públicos). Os endereços IP privados do tráfego de conexão do serviço privado não podem ser bloqueados por listas de acesso IP. Consulte Ativar o serviço privado Connect para seu workspace.
Como o acesso é verificado?
O recurso de listas de acesso IP permite configurar listas de permissão e listas de bloqueio para o console e o espaço de trabalho do Databricks account :
- As listas de permissões contêm o conjunto de endereços IP na Internet pública aos quais é permitido o acesso. Permita vários endereços IP explicitamente ou como sub-redes inteiras (por exemplo,
216.58.195.78/28). - As listas de bloqueio contêm os endereços IP ou sub-redes a serem bloqueados, mesmo que estejam incluídos na lista de permissões. O senhor pode usar esse recurso se um intervalo de endereços IP permitido incluir um intervalo menor de endereços IP de infraestrutura que, na prática, estão fora do perímetro real da rede segura.
Quando uma conexão é tentada:
- Primeiro, todas as listas de bloqueio são verificadas. Se o endereço IP da conexão corresponder a qualquer lista de bloqueios, a conexão será rejeitada.
- Se a conexão não foi rejeitada pelas listas de bloqueio , o endereço IP é comparado com as listas de permissões. Se houver pelo menos uma lista de permissões, a conexão será permitida somente se o endereço IP corresponder a uma lista de permissões. Se não houver listas de permissão, todos os endereços IP serão permitidos.
Se o recurso estiver desativado, todo o acesso será permitido ao seu account ou workspace.
Para todas as listas de permissões e listas de bloqueios combinadas, o console account suporta um máximo de 1000 valores de IP/CIDR, sendo que um CIDR conta como um único valor.
As alterações nas listas de acesso IP podem levar alguns minutos para entrar em vigor.