サーバレス エグレス コントロールとは
BDC と SAP Databricksの間の接続が切断されないようにするには、サーバレス エグレス コントロールを設定する前に、の SAP ドキュメント を参照してください。
この記事では、サーバレス エグレスコントロール を使用して、サーバレス コンピュート リソースからの送信ネットワーク接続を管理する方法について説明します。
サーバレス エグレス コントロールは、サーバレス ワークロードからの送信接続を管理できるようにすることでセキュリティ体制を強化し、データ流出のリスクを軽減します。
ネットワーク ポリシーを使用すると、次のことができます。
- デフォルトで拒否する体制を適用する : インターネット、クラウドストレージ、Databricks API 接続に対してデフォルトで拒否ポリシーを有効にすることで、送信アクセスをきめ細かく制御します。
- 管理の簡素化 : 複数のサーバレス製品にわたるすべてのサーバレスワークロードに対して、一貫したエグレス制御体制を定義します。
- 大規模での管理が簡単 : 複数のワークスペース間でポスチャを一元管理し、 Databricks アカウントに対してデフォルト ポリシーを適用します。
- Safely implement ポリシー : 新しいポリシーの影響を最初にドライ実行モードで評価してから、完全に実施することでリスクを軽減します。
サーバレス Egress Control は、ノートブック、ワークフロー、 SQLウェアハウス、 Mosaic AI Model Serving、および限定的なサポートのレイクハウスモニタリング サーバレス製品でサポートされています。
ネットワーク ポリシーの概要
ネットワークポリシーは、SAP Databricks アカウントレベルで適用される設定オブジェクトです。1 つのネットワーク ポリシーを複数の SAP Databricks ワークスペースに関連付けることができますが、各ワークスペースは一度に 1 つのポリシーにのみリンクできます。
Network ポリシー 関連付けられたワークスペース内のサーバレス ワークロードのネットワーク アクセス モードを定義します。 次の 2 つの主要なモードがあります。
-
フルアクセス : サーバレスワークロードは、インターネットおよびその他のネットワークリソースへの無制限のアウトバウンドアクセスを持ちます。
-
制限付きアクセス : 送信アクセスは、次のものに制限されています。
- Unity Catalog 外部ロケーション: ワークスペースからアクセスできる Unity Catalog で構成された外部ロケーション。 Unity Catalogリージョンは、S3バケットリージョンと同じである必要があります。
- 明示的に定義された宛先: FQDN と S3 バケットは、ネットワークポリシーにリストされます。
セキュリティ体制
ネットワーク ポリシーを制限付きアクセス モードに設定すると、サーバレス ワークロードからのアウトバウンド ネットワーク接続が厳密に制御されます。
挙動 | 詳細 |
|---|---|
デフォルトで送信接続を拒否する | サーバレスワークロードは、デフォルトによって許可されている Unity Catalog 外部ロケーションを通じて設定された宛先、ポリシーで定義されたFQDNまたはストレージロケーション、およびワークロードと同じワークスペースの APIs ワークスペースにのみアクセスできます。 Unity Catalogリージョンは、S3バケットリージョンと同じである必要があります。ワークスペース間のアクセスが拒否されます。 |
ストレージへの直接アクセスなし | UDF およびノートブックのユーザー コードからの直接アクセスは禁止されています。 代わりに、Unity Catalog や DBFS マウントなどの Databricks 抽象化を使用します。 DBFS マウントを使用すると、ネットワーク ポリシーにリストされている S3 バケット内のデータに安全にアクセスできます。 |
暗黙的に許可された目的地 | ワークスペースに関連付けられた S3 バケット、重要なシステムテーブル、およびサンプルデータセット (読み取り専用) にいつでもアクセスできます。 |
プライベートエンドポイントのポリシー適用 | プライベートエンドポイント経由のアウトバウンドアクセスも、ネットワークポリシーで定義されたルールの対象となります。 宛先は、 Unity Catalog またはポリシー内にリストされている必要があります。 これにより、すべてのネットワークアクセス方法で一貫したセキュリティの適用が保証されます。 |