Gerenciando listas de acesso IP
Este guia apresenta listas de acesso IP para a account e workspace do Databricks.
Visão geral das listas de acesso IP
Observação
Este recurso requer o nível de preços Enterprise.
Por default, os usuários podem se conectar ao Databricks de qualquer computador ou endereço IP. As listas de acesso IP permitem-lhe restringir o acesso à sua account e workspace do Databricks com base no endereço IP de um utilizador. Por exemplo, você pode configurar listas de acesso IP para permitir que os usuários se conectem somente através de redes corporativas existentes com um perímetro seguro. Se a rede VPN interna estiver autorizada, os usuários remotos ou em viagem poderão usar a VPN para se conectar à rede corporativa. Se um usuário tentar se conectar ao Databricks a partir de uma rede insegura, como uma cafeteria, o acesso será bloqueado.
Existem dois recursos de lista de acesso IP:
Listas de acesso IP para o console account : os administradores account podem configurar listas de acesso IP para o console account para permitir que os usuários se conectem à UI do console account e às APIs REST no nível accountsomente por meio de um conjunto de endereços IP aprovados. os administradores account podem usar uma UI do console account ou uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para o console da conta.
Listas de acesso IP para o workspace: os administradores workspace podem configurar listas de acesso IP para o workspace do Databricks para permitir que os utilizadores se liguem ao workspace ou às APIs ao nível workspaceapenas através de um conjunto de endereços IP aprovados. Os administradores do workspace usam uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para áreas de trabalho.
Observação
Se o senhor usar o PrivateLink, as listas de acesso IP se aplicarão somente a solicitações pela Internet (endereços IP públicos). Os endereços IP privados do tráfego do PrivateLink não podem ser bloqueados por listas de acesso IP. Para bloquear endereços IP privados específicos do tráfego do PrivateLink, use o AWS Network Firewall. Se quiser restringir a conexão do PrivateLink a um conjunto de endpoints registrados do PrivateLink, altere o objeto de configurações de acesso privado do workspacepara usar o nível de acesso endpoint. Consulte Habilitar a conectividade privada usando o AWS PrivateLink.
Como o acesso é verificado?
O recurso de listas de acesso IP permite configurar listas de permissão e listas de bloqueio para o console account e o workspace do Databricks:
As listas de permissões contêm o conjunto de endereços IP na Internet pública que têm acesso permitido. Permitir vários endereços IP explicitamente ou como sub-redes inteiras (por exemplo
216.58.195.78/28
).As listas de bloqueio contêm os endereços IP ou sub-redes a serem bloqueados, mesmo que estejam incluídos na lista de permissões. Você poderá usar esse recurso se um intervalo de endereços IP permitido incluir um intervalo menor de endereços IP de infraestrutura que, na prática, estão fora do perímetro real da rede segura.
Quando uma conexão é tentada:
Primeiro, todas as listas de bloqueios são verificadas. Se o endereço IP da conexão corresponder a qualquer lista de bloqueios, a conexão será rejeitada.
Se a conexão não foi rejeitada pelas listas de bloqueios, o endereço IP será comparado com as listas de permissões. Se houver pelo menos uma lista de permissões, a conexão será permitida somente se o endereço IP corresponder a uma lista de permissões. Se não houver listas de permissões, todos os endereços IP serão permitidos.
Se o recurso estiver desativado, todo o acesso será permitido à sua account ou workspace.
Para todas as listas de permissões e listas de bloqueios combinadas, o console account suporta no máximo 1.000 valores de IP/CIDR, onde um CIDR conta como um valor único.
As alterações nas listas de acesso IP podem levar alguns minutos para entrar em vigor.