Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Poznámka
Tato funkce vyžaduje úroveň Premium.
V Azure Číně je řízení výchozího přenosu dat bez serveru dostupné pouze v oblasti Čína – sever 3. Váš pracovní prostor musí být v Číně – sever 3.
Tato stránka vysvětluje, jak řízení výchozího přenosu dat bez serveru umožňuje spravovat odchozí síťová připojení z bezserverových výpočetních prostředků.
Ovládací prvek příchozího přenosu dat najdete v tématu Řízení příchozího přenosu dat na základě kontextu.
Řízení výchozího přenosu dat bez serveru posiluje stav zabezpečení tím, že umožňuje spravovat odchozí připojení z úloh bez serveru, což snižuje riziko exfiltrace dat.
Pomocí zásad sítě můžete:
- Vynutit postoj výchozího odepření: Řídit odchozí přístup s vysokou přesností povolením politiky výchozího odepření pro připojení k internetu, cloudové úložiště a rozhraní Databricks API.
- Zjednodušení správy: Definujte konzistentní strategii řízení odchozích dat pro všechny bezserverové úlohy napříč různými bezserverovými produkty.
- Snadná správa ve velkém měřítku: Centrálně spravujte nastavení ve více pracovních prostorech a vynucujte výchozí politiku pro databricksový účet.
- Bezpečná implementace zásad: Zmírněte riziko tím, že nejprve vyhodnotíte účinky všech nových zásad v testovacím režimu před jejich úplným vynucením.
Řízení výchozího přenosu dat bez serveru se podporuje s následujícími bezserverovými produkty: poznámkové bloky, pracovní postupy, sql warehouses, kanály Lakeflow, obsluha modelů, monitorování kvality dat a aplikace Databricks s omezenou podporou.
Poznámka
Povolení omezení výchozího přenosu dat v pracovním prostoru brání aplikacím Databricks v přístupu k neoprávněným prostředkům. Implementace omezení výchozího přenosu dat ale může ovlivnit funkčnost aplikace.
Přehled zásad sítě
Zásady sítě jsou objekt konfigurace použitý na úrovni účtu. I když je možné přidružit jednu zásadu sítě k více pracovním prostorům, každý pracovní prostor je možné propojit pouze s jednou zásadou najednou.
Zásady sítě definují režim síťového přístupu pro úlohy bez serveru v přidružených pracovních prostorech. Existují dva primární režimy:
- Plný přístup: Bezserverové úlohy mají neomezený odchozí přístup k internetu a dalším síťovým prostředkům.
-
Omezený přístup: Odchozí přístup je omezený na:
- Externí umístění katalogu Unity: Externí umístění nakonfigurovaná v katalogu Unity, která jsou přístupná z pracovního prostoru. Oblast katalogu Unity musí být stejná jako oblast účtu úložiště Azure.
- Explicitně definovaní adresáti: Úplné názvy domén (FQDN) a účet úložiště Azure jsou uvedeny v síťových zásadách.
Poznámka
Úplný přístup řídí pouze odchozí síťový přístup. Nastavení zásady na Úplný přístup neuděluje přístup napříč pracovními prostory: bezserverové úlohy stále můžou přistupovat pouze k rozhraním API pracovního prostoru, ve kterém běží. Přístup mezi pracovními prostory je řízen samostatně a není ovlivněn režimem přístupu k síti.
Zásady neřídí jenom odchozí přístup. Mohou také zahrnovat řízení příchozího provozu, které určuje, jak síťový provoz vstupuje do systému. Podrobnosti o konfiguraci ovládacích prvků příchozího přenosu dat najdete v tématu Řízení příchozího přenosu dat na základě kontextu.
Bezpečnostní strategie
Pokud je zásada sítě nastavená na režim omezeného přístupu, jsou odchozí síťová připojení z bezserverových úloh pevně řízená.
| Chování | Podrobnosti |
|---|---|
| Odepřít ve výchozím nastavení odchozí připojení | Bezserverové úlohy mají přístup pouze k následujícím: cíle nakonfigurované prostřednictvím externích umístění katalogu Unity, která jsou ve výchozím nastavení povolená; plně kvalifikovaným názvům domén nebo umístěním úložiště, která jsou definována v zásadách; a rozhraní API pracovního prostoru stejného pracovního prostoru jako úloha. Oblast katalogu Unity musí být stejná jako oblast účtu úložiště Azure. Přístup mezi pracovními prostory je odepřen. |
| Bez přímého přístupu k úložišti | Přímý přístup z uživatelského kódu v uživatelsky definovaných funkcích a poznámkových blocích je zakázán. Místo toho použijte abstrakce Databricks, jako je katalog Unity nebo připojení DBFS. Připojení DBFS umožňují zabezpečený přístup k datům v účtu úložiště Azure uvedeného v síťových zásadách. |
| Implicitně povolené cíle | K účtu úložiště Azure, který je propojen s vaším pracovním prostorem, můžete vždy přistupovat, stejně jako k základním systémovým tabulkám a ukázkovým datovým sadám (pouze pro čtení). |
| Vynucování zásad pro privátní koncové body | Odchozí přístup prostřednictvím privátních koncových bodů podléhá také pravidlům definovaným v zásadách sítě. Cíl musí být uvedený buď v katalogu Unity, nebo v rámci zásad. Tím se zajistí konzistentní vynucování zabezpečení napříč všemi metodami přístupu k síti. |