Amazon
Web Services
Microsoft Azure
Google Cloud Platformユーザーから Databricks へのネットワーキング
このガイドでは、ユーザーと Databricks ワークスペース間のネットワーク アクセスをカスタマイズする機能について説明します。
ユーザーから Databricks までネットワークをカスタマイズする理由は何ですか?
既定では、ユーザーとアプリケーションは任意の IP アドレスから Databricks に接続できます。 ユーザーは、Databricks を使用して重要なデータソースにアクセスできます。 フィッシングなどの攻撃によってユーザーの認証情報が侵害された場合、ネットワークアクセスを保護することで、アカウント乗っ取りのリスクを大幅に軽減できます。 プライベート接続、IPアクセスリスト、ファイアウォールなどの構成により、重要なデータを安全に保つことができます。
また、認証およびアクセス制御機能を構成して、ユーザーの資格情報を保護することもできます ( 「認証とアクセス制御」を参照)。
注:
Databricks のセキュリティで保護されたネットワーク機能を利用するユーザーには 、Enterprise プランが必要です。
プライベート接続
Databricks ユーザーとコントロール プレーンの間では、PrivateLink は受信要求のソースを制限する強力な制御を提供します。 組織が AWS 環境を介してトラフィックをルーティングする場合は、PrivateLink を使用して、ユーザーと Databricks コントロール プレーン間の通信がパブリック IP アドレスを通過しないようにすることができます。 「 Databricks へのプライベート接続を構成する」を参照してください。
IPアクセスリスト
認証はユーザーの身元を証明しますが、ユーザーのネットワークの場所は強制されません。 セキュリティで保護されていないネットワークからクラウド サービスにアクセスすると、特にユーザーが機密データや個人データへのアクセスを承認している場合に、セキュリティ上のリスクが生じます。 IP アクセス リストを使用すると、ユーザーがセキュリティで保護された境界を持つ既存のネットワークを介してのみサービスに接続するように Databricks ワークスペースを構成できます。
管理者は、Databricks へのアクセスを許可する IP アドレスを指定できます。 また、ブロックする IP アドレスまたはサブネットを指定することもできます。 詳細については、「 IP アクセス リストの管理」を参照してください。
また、PrivateLink を使用して、Databricks ワークスペースへのすべてのパブリック インターネット アクセスをブロックすることもできます。
ファイアウォール ルール
多くの組織では、ファイアウォールを使用して、ドメイン名に基づいてトラフィックをブロックしています。 Databricks リソースへのアクセスを確保するには、Databricks ドメイン名をリストに登録する必要があります。 詳細については、「 ドメイン名ファイアウォール規則の構成」を参照してください。
