Administración de listas de acceso IP

En esta página se presentan las listas de acceso IP para las áreas de trabajo y la cuenta de Azure Databricks.

Introducción a las listas de acceso IP

Nota:

Esta característica requiere el plan Premium.

Las listas de acceso IP mejoran la seguridad al proporcionar control sobre qué redes pueden conectarse a su cuenta y áreas de trabajo de Azure Databricks. El valor predeterminado permite conexiones desde cualquier dirección IP.

• Restrinja el acceso en función de la dirección IP de origen del usuario.
• Permitir conexiones solo desde redes aprobadas, como oficinas corporativas o VPN.
• Bloquear los intentos de acceso desde redes públicas o no seguras, como cafeterías.

Existen dos características de la lista de acceso de IP:

• Listas de acceso IP para la consola de cuenta (versión preliminar pública): los administradores de cuentas pueden configurar listas de acceso IP para la consola de cuenta para permitir que los usuarios se conecten a la interfaz de usuario de la consola de cuenta y a las API REST de nivel de cuenta solo a través de un conjunto de direcciones IP aprobadas. Los propietarios y administradores de cuentas pueden usar una interfaz de usuario de la consola de la cuenta o una API de REST para configurar las direcciones IP y las subredes permitidas y bloqueadas. Consulte Listas de acceso de IP para la consola de la cuenta.

• Listas de acceso IP para áreas de trabajo: los administradores del área de trabajo pueden configurar listas de acceso IP para las áreas de trabajo de Azure Databricks para permitir que los usuarios se conecten al área de trabajo o a las API de nivel de área de trabajo solo a través de un conjunto de direcciones IP aprobadas. Los administradores del área de trabajo usan una API de REST para configurar las direcciones IP permitidas y bloqueadas y las subredes. Consulte Configurar listas de acceso IP para áreas de trabajo.

Nota:

Si usa Private Link, tenga en cuenta que las listas de acceso IP solo se aplican a las solicitudes a través de Internet (direcciones IP públicas). Las direcciones IP privadas del tráfico de Private Link no se pueden bloquear mediante listas de acceso IP. Para controlar quién puede acceder a Azure Databricks mediante private link, puede comprobar qué puntos de conexión privados se han creado. Consulte Conceptos de Azure Private Link.

Controles de entrada basados en contexto

Importante

Esta característica está en versión preliminar pública.

Aunque el acceso IP enumera las solicitudes de filtro basadas solo en direcciones IP de origen, los controles de entrada basados en contexto permiten a los administradores de cuentas combinar varias condiciones, como la identidad del usuario, el tipo de solicitud y el origen de red, en reglas de permitir y denegar. Estas directivas proporcionan un control más granular sobre quién puede llegar al área de trabajo y desde dónde.

El control de entrada basado en contexto se configura en el nivel de cuenta. Una sola directiva puede controlar varias áreas de trabajo, lo que garantiza una aplicación coherente en toda la organización.

Ambos controles se aplican juntos. La solicitud debe ser permitida tanto por la política de entrada basada en el contexto a nivel de cuenta como por cualquier lista de acceso IP del área de trabajo. La entrada basada en contexto puede restringir el acceso en función del ámbito de identidad o solicitud, y las listas de acceso IP pueden restringir el acceso en función de la ubicación de red. Si alguno de los controles bloquea la solicitud, se deniega el acceso.

Consulte Control de entrada basado en contexto.

¿Cómo se comprueba el acceso?

La característica de listas de acceso IP le permite configurar listas de permitidos y listas de bloqueos para la consola y las áreas de trabajo de la cuenta de Azure Databricks:

• Las listas de permitidos contienen el conjunto de direcciones IP en la red pública de Internet a la que se permite el acceso. Permita el acceso a varias direcciones IP explícitamente o como subredes enteras (por ejemplo, 216.58.195.78/28).
• Las listas de bloques contienen las direcciones IP o subredes que se van a bloquear, aunque se incluyan en la lista de permitidos. Puede usar esta característica si un intervalo de direcciones IP permitido incluye un intervalo más pequeño de direcciones IP de infraestructura que, en la práctica, están fuera del perímetro de red seguro real.

Cuando se intenta realizar una conexión:

1. En primer lugar, se comprueban todas las listas de bloqueados. Si la dirección IP de conexión coincide con cualquier lista de bloqueos, se rechaza la conexión.
2. Si las listas de bloqueados no rechazaron la conexión, la dirección IP se compara con las listas de permitidos. Si hay al menos una lista de permitidos, la conexión solo se permite si la dirección IP coincide con una lista de permitidos. Si no hay listas permitidas, se permiten todas las direcciones IP.

Si la característica está deshabilitada, se permite todo el acceso a su cuenta o área de trabajo.

Para todas las listas permitidas y listas de bloqueo combinadas, la consola de la cuenta admite un máximo de 1000 valores IP/CIDR, donde un CIDR cuenta como un solo valor.

Los cambios en las listas de acceso IP pueden tardar unos minutos en surtir efecto.

Pasos siguientes

• Configurar listas de acceso IP para la consola de la cuenta: configure restricciones de IP para el acceso a la consola de cuenta para controlar qué redes pueden acceder a la configuración de nivel de cuenta y a las API. Consulte Listas de acceso de IP para la consola de la cuenta.
• Configuración de listas de acceso IP para áreas de trabajo: implemente restricciones de IP para el acceso al área de trabajo para controlar qué redes pueden conectarse a las áreas de trabajo de Azure Databricks. Consulte Configurar listas de acceso IP para áreas de trabajo.
• Configuración de la conectividad privada: use Private Link para establecer el acceso seguro y aislado a los servicios de Azure desde la red virtual, pasando la red pública de Internet. Consulte Conceptos de Azure Private Link.