Řízení příchozího přenosu dat na základě kontextu

Důležité

Tato funkce je ve verzi Public Preview.

Poznámka:

Tato funkce vyžaduje úroveň Premium.

Důležité

Kontextová zásada příchozího přenosu dat na úrovni účtu je v beta verzi.

Tato stránka poskytuje přehled řízení přístupu na základě kontextu. Informace o řízení výchozího přenosu dat bez serveru najdete v tématu Co je řízení výchozího přenosu dat bez serveru?

Pokud chcete nakonfigurovat zásady příchozího přenosu dat, přečtěte si téma Správa zásad příchozího přenosu dat na základě kontextu.

Přehled kontextově řízeného řízení vstupů

Řízení příchozího přístupu na základě kontextu funguje společně se seznamy přístupu podle IP adres a privátním připojením frontendu a umožňuje správcům účtu nastavit pravidla pro povolení a odepření, která kombinují, kdo volání provádí, odkud přichází a k čemu může v Azure Databricks přistupovat. Tím zajistíte, že se do vašeho pracovního prostoru dostanou jenom důvěryhodné kombinace identit, typu požadavku a zdroje sítě. Řízení příchozího přenosu dat na základě kontextu se konfiguruje na úrovni účtu. Jedna zásada může řídit více pracovních prostorů.

Pomocí kontextového přístupu můžete:

  • Zastavte přístup z nedůvěryhodných sítí tím, že kromě přihlašovacích údajů vyžadujete i druhý faktor, důvěryhodný zdroj sítě.
  • Umožněte přístup klientům SaaS bez stabilních odchozích IP adres tím, že přístup budete řídit podle identity místo podle rozsahů IP adres.
  • Omezte přístup tím, že povolíte méně důvěryhodným zdrojům používat jenom určité obory, jako jsou Azure Databricks rozhraní API nebo uživatelské rozhraní pracovního prostoru.
  • Chraňte privilegovanou automatizaci: Omezte vysoce citlivé instanční objekty služeb pouze na důvěryhodné sítě.
  • Provádějte audit efektivně: Zachycujte podrobné záznamy o odepření v systémových tabulkách Unity Catalog pro sledování blokovaných požadavků.

Základní koncepty kontroly příchozích dat založené na kontextu

Síťové zdroje

Zdroj sítě definuje původ požadavků. Mezi podporované typy patří:

Zásady veřejného přístupu:

  • Všechny veřejné IP adresy: Libovolný veřejný zdroj internetu.
  • Vybrané IP adresy: Konkrétní adresy IPv4 nebo rozsahy CIDR

Zásady privátního přístupu:

  • Všechny registrované privátní koncové body: Všechny registrované privátní koncové body v účtu.
  • Vybrané privátní koncové body: Konkrétní registrované privátní koncové body v účtu

Typy přístupu

Pravidla se vztahují na různé rozsahy příchozích požadavků. Každý obor představuje kategorii příchozích požadavků, které můžete povolit nebo odepřít:

Typy přístupu k zásadám pracovního prostoru:

  • Uživatelské rozhraní pracovního prostoru: Přístup prohlížeče k pracovnímu prostoru.
  • API: Programový přístup prostřednictvím rozhraní API Azure Databricks, včetně koncových bodů SQL (JDBC / ODBC). Můžete cílit na všechna rozhraní API nebo konkrétní obor rozhraní API, jako jsou aplikace, řídicí panel nebo obsluha modelu.
  • Běhové prostředí aplikací: Povoluje nebo zakazuje přístup k nasazením aplikací Databricks Apps. Podívejte se na Aplikace Databricks. Pro tento typ přístupu je podporována pouze možnost Identita všichni uživatelé a instanční objekty .
  • Lakebase Compute: Připojení k instancím databáze Lakebase. Viz instance Lakebase. Pro tento typ přístupu je podporována pouze možnost Identita všichni uživatelé a instanční objekty .

account-policy typy přístupu:

  • Uživatelské rozhraní účtu: Přístup prohlížeče k prostředkům na úrovni účtu (například konzola účtu a Genie na úrovni účtu).
  • Rozhraní API účtu: Programový přístup prostřednictvím rozhraní API účtu Azure Databricks.

Identity

Pravidla můžou cílit na různé typy identit. Pro typy přístupu Apps runtime a Lakebase Compute je jedinou podporovanou možností Všichni uživatelé a instanční objekty služby.

V account-policy je jedinou podporovanou možností Všichni uživatelé a instanční objekty služby.

  • Všichni uživatelé a služební identity: Jak uživatelé, tak automatizace.
  • Všichni uživatelé: Pouze lidské uživatele.
  • Všechny principály služeb: Pouze automatizace identit.
  • Vybrané identity: Konkrétní uživatelé nebo instanční objekty zvolené správcem.

Vyhodnocení pravidla

  • Výchozí odepření: V režimu s omezeným přístupem je přístup odepřen, pokud není explicitně povolen.
  • Odepřít před povolením: Pravidla zamítnutí umožňují definovat výjimky pravidel povolení.
  • Výchozí zásady pracovního prostoru: Každý účet má výchozí zásadu příchozího přenosu dat pracovního prostoru použitou pro všechny oprávněné pracovní prostory bez explicitního přiřazení zásad.

Režimy vynucení

Zásady příchozího přenosu dat založené na kontextu umožňují dva režimy:

  • Vynucováno u všech produktů: Azure Databricks aktivně uplatňuje pravidla a blokuje požadavky, které je porušují.
  • Režim zkušebního běhu pro všechny produkty: Azure Databricks zaznamenává porušení, ale neblokuje požadavky. Tento režim použijte k vyhodnocení dopadu zásad před vynucováním.

Poznámka:

Zásady sítě podporují současně jenom jeden režim vynucení.

Auditing

V systémové tabulce jsou zaprotokolovány system.access.inbound_network žádosti o odepření nebo suché spuštění. Pokud nemáte přístup k systémovým tabulkám, může vám správce metastoru udělit oprávnění. Viz Udělení přístupu k systémovým tabulkám.

Každá položka protokolu zahrnuje:

  • Čas události
  • Identifikátor pracovního prostoru
  • Typ požadavku
  • Identita
  • Zdroj sítě
  • Typ přístupu (DENIED nebo DRY_RUN_DENIAL)

Dotazem na tyto protokoly ověřte, jestli vaše pravidla fungují podle očekávání, a zachyťte neočekávané pokusy o přístup.

Poznámka:

account-policy odepření se ještě nezaprotokoluje.

:::

Vztah s jinými ovládacími prvky

  • Seznamy přístupu k IP adresám pracovního prostoru: Vyhodnocují se společně s kontextovou zásadou příchozího přístupu pomocí logického operátoru AND, bez pevně daného pořadí mezi nimi. Požadavek je povolený jenom v případě, že to umožňuje přístupový seznam IP adres i zásady příchozího přenosu dat. Přístupové seznamy IP adres pracovního prostoru můžou dále zúžit přístup, ale nemůžou ho rozšířit.
  • Řízení výchozího přenosu dat bez serveru: Doplňuje zásady příchozího přenosu dat tím, že řídí odchozí síťový provoz z bezserverového výpočetního prostředí. Viz Správa zásad sítě.

Tip

Aby se snížila složitost, Databricks doporučuje používat zásady příchozího přístupu založené na kontextu jako jediný mechanismus zásad namísto současného udržování seznamů přístupu IP.

  • Privátní připojení front-endu: Vynucuje se spolu se zásadami příchozího přenosu dat, když je Veřejný přístup k sítipovolen. Pokud je možnost Povolit přístup k veřejné sítizakázaná, zablokují se všechny veřejné příchozí přenosy dat a zásady příchozího přenosu dat se nevyhodnocují. Viz Konfigurace příchozího privátního propojení.
  • Přepínač „Povolit přístup z veřejné sítě“: Když je Povolit přístup z veřejné sítěPovoleno, vyhodnocují se seznamy IP adres pro přístup k pracovnímu prostoru. V opačném případě je veškerý veřejný příchozí provoz blokován a zásady veřejného příchozího provozu pracovního prostoru se nevyhodnocují.

Osvědčené postupy

  • Začněte suchým režimem spuštění, abyste mohli sledovat dopady bez narušení přístupu.
  • Pokud je to možné, použijte pravidla založená na identitě pro klienty SaaS, kteří obměňují IP adresy.
  • Nejprve použijte pravidla zamítnutí na privilegované instanční objekty, aby se omezila ovlivněná oblast.
  • Udržujte názvy zásad přehledné a konzistentní.

Poznámka:

Kontextové řízení příchozího přístupu není k dispozici v oblasti Azure Západní Indie.