IP アクセス リストの管理

このガイドでは、Databricks アカウントとワークスペースの IP アクセス リストについて説明します。

IP アクセス リストの概要

注:

この機能には、 Enterprise 価格レベルが必要です。

既定では、ユーザーは任意のコンピューターまたは IP アドレスから Databricks に接続できます。 IP アクセス リストを使用すると、ユーザーの IP アドレスに基づいて Databricks アカウントとワークスペースへのアクセスを制限できます。 たとえば、IP アクセス リストを構成して、ユーザーがセキュリティで保護された境界を持つ既存の企業ネットワーク経由でのみ接続できるようにすることができます。 内部 VPN ネットワークが承認されている場合、リモートまたは移動中のユーザーは、VPN を使用して企業ネットワークに接続できます。 ユーザーがコーヒー ショップなど、セキュリティで保護されていないネットワークから Databricks に接続しようとすると、アクセスがブロックされます。

IP アクセス リストには、次の 2 つの機能があります。

  • アカウントコンソールのIPアクセスリスト: アカウント管理者は、アカウントコンソールのIPアクセスリストを設定して、ユーザーが承認されたIPアドレスのセットを介してのみアカウントコンソールUIとアカウントレベルのREST APIs に接続できるようにすることができます。 アカウント管理者は、アカウント コンソール UI または REST API を使用して、許可およびブロックされる IP アドレスとサブネットを構成できます。 「アカウントコンソールの IP アクセスリストの設定」を参照してください。

  • ワークスペースの IP アクセス リスト: ワークスペース管理者は、Databricks ワークスペースの IP アクセス リストを構成して、承認された一連の IP アドレスを介してのみユーザーがワークスペースまたはワークスペース レベルの APIs に接続できるようにすることができます。 ワークスペース管理者は、REST API を使用して、許可およびブロックされる IP アドレスとサブネットを構成します。 「ワークスペースの IP アクセス リストの構成」を参照してください。

注:

PrivateLink を使用する場合、IP アクセス リストはインターネット経由の要求 (パブリック IP アドレス) にのみ適用されます。 PrivateLink トラフィックのプライベート IP アドレスは、IP アクセス リストによってブロックできません。 PrivateLink トラフィックから特定のプライベート IP アドレスをブロックするには、AWS ネットワークファイアウォールを使用します。 PrivateLink 接続を登録済みの PrivateLink エンドポイントのセットに制限する場合は、ワークスペースのプライベート アクセス設定オブジェクトを変更して、ENDPOINT アクセス レベルを使用します。 「AWS PrivateLink を使用してプライベート接続を有効にする」を参照してください。

アクセスはどのようにチェックされますか?

IP アクセス リスト機能を使用すると、Databricks アカウント コンソールとワークスペースの許可リストとブロック リストを構成できます。

  • 許可リスト には、アクセスが許可されているパブリックインターネット上のIPアドレスのセットが含まれています。 複数の IP アドレスを明示的に許可するか、サブネット全体として許可します(例: 216.58.195.78/28)。

  • ブロック リストには、許可リストに含まれている場合でも、ブロックする IP アドレスまたはサブネットが含まれます。 この機能は、許可された IP アドレス範囲に含まれるインフラストラクチャ IP アドレスの範囲が狭く、実際にはセキュリティで保護されたネットワーク境界の外側にある場合に使用できます。

接続が試行されると、次のようになります。

  1. まず、すべてのブロックリストがチェックされます。 接続 IP アドレスがいずれかのブロック リストと一致する場合、接続は拒否されます。

  2. 接続がブロックリストによって拒否されなかった場合、IP アドレスは許可リストと比較されます。 許可リストが少なくとも 1 つある場合は、IP アドレスが許可リストと一致する場合にのみ接続が許可されます。 許可リストがない場合は、すべての IP アドレスが許可されます。

この機能が無効になっている場合、アカウントまたはワークスペースへのすべてのアクセスが許可されます。

IP アクセス リストのフロー図

すべての許可リストとブロックリストの組み合わせについて、アカウントコンソールは最大1000個のIP/CIDR値をサポートし、1つのCIDRが1つの値としてカウントされます。

IP アクセス リストの変更は、有効になるまでに数分かかる場合があります。