メインコンテンツまでスキップ

サーバレス エグレス コントロールとは

備考

プレビュー

この機能は パブリック プレビュー段階です。

警告

BDC と SAP Databricksの間の接続が切断されないようにするには、サーバレス エグレス コントロールを設定する前に SAP のマニュアルを参照してください。

この記事では、サーバレス エグレスコントロール を使用して、サーバレス コンピュート リソースからの送信ネットワーク接続を管理する方法について説明します。

サーバレス エグレス コントロールは、サーバレス ワークロードからの送信接続を管理できるようにすることでセキュリティ体制を強化し、データ流出のリスクを軽減します。

ネットワーク ポリシーを使用すると、次のことができます。

  • デフォルトで拒否する体制を適用する : インターネット、クラウドストレージ、Databricks API 接続に対してデフォルトで拒否ポリシーを有効にすることで、送信アクセスをきめ細かく制御します。
  • 管理の簡素化 : 複数のサーバレス製品にわたるすべてのサーバレスワークロードに対して、一貫したエグレス制御体制を定義します。
  • 大規模での管理が簡単 : 複数のワークスペース間でポスチャを一元管理し、 Databricks アカウントに対してデフォルト ポリシーを適用します。
  • Safely implement ポリシー : 新しいポリシーの影響を最初にドライ実行モードで評価してから、完全に実施することでリスクを軽減します。

このプレビューでは、ノートブック、ワークフロー、 SQLウェアハウス、DLT パイプライン、 Mosaic AI Model Serving、レイクハウスモニタリング、およびサポートが制限されている Databricks Apps のサーバレス製品がサポートされています。

注記

ワークスペースでエグレス制限を有効にすると、Databricks Apps が承認されていないリソースにアクセスするのを防ぐことができます。 ただし、エグレス制限を実装すると、アプリケーションの機能に影響を与える可能性があります。

ネットワーク ポリシーの概要

ネットワークポリシーは、SAP Databricks アカウントレベルで適用される設定オブジェクトです。1 つのネットワーク ポリシーを複数の SAP Databricks ワークスペースに関連付けることができますが、各ワークスペースは一度に 1 つのポリシーにのみリンクできます。

Network ポリシー 関連付けられたワークスペース内のサーバレス ワークロードのネットワーク アクセス モードを定義します。 次の 2 つの主要なモードがあります。

  • フルアクセス : サーバレスワークロードは、インターネットおよびその他のネットワークリソースへの無制限のアウトバウンドアクセスを持ちます。
  • 制限付きアクセス : 送信アクセスは、次のものに制限されています。
    • Unity Catalog の場所: ワークスペースからアクセスできる Unity Catalog で構成された場所。
    • 明示的に定義された宛先: FQDN と S3 バケットは、ネットワークポリシーにリストされます。

セキュリティ体制

ネットワーク ポリシーを制限付きアクセス モードに設定すると、サーバレス ワークロードからのアウトバウンド ネットワーク接続が厳密に制御されます。

挙動

詳細

デフォルトで送信接続を拒否する

サーバレス ワークロードは、 Unity Catalog ロケーションを通じて設定されたターゲット(デフォルトによって許可されている)、ポリシーで定義されているFQDNまたはストレージロケーション、およびワークロードと同じワークスペースの APIs ワークスペースにのみアクセスできます。 ワークスペース間のアクセスが拒否されます。

ストレージへの直接アクセスなし

UDF およびノートブックのユーザー コードからの直接アクセスは禁止されています。 代わりに、Unity Catalog や DBFS マウントなどの Databricks 抽象化を使用します。 DBFS マウントを使用すると、ネットワーク ポリシーにリストされている S3 バケット内のデータに安全にアクセスできます。

暗黙的に許可された目的地

ワークスペースに関連付けられた S3 バケット、重要なシステムテーブル、およびサンプルデータセット (読み取り専用) にいつでもアクセスできます。

プライベートエンドポイントのポリシー適用

プライベートエンドポイント経由のアウトバウンドアクセスも、ネットワークポリシーで定義されたルールの対象となります。 宛先は、 Unity Catalog またはポリシー内にリストされている必要があります。 これにより、すべてのネットワークアクセス方法で一貫したセキュリティの適用が保証されます。