Co je řízení výchozího přenosu dat bez serveru?

Poznámka

Tato funkce vyžaduje úroveň Premium.

V Azure Číně je řízení výchozího přenosu dat bez serveru dostupné pouze v oblasti Čína – sever 3. Váš pracovní prostor musí být v Číně – sever 3.

Tato stránka vysvětluje, jak řízení výchozího přenosu dat bez serveru umožňuje spravovat odchozí síťová připojení z bezserverových výpočetních prostředků.

Ovládací prvek příchozího přenosu dat najdete v tématu Řízení příchozího přenosu dat na základě kontextu.

Řízení výchozího přenosu dat bez serveru posiluje stav zabezpečení tím, že umožňuje spravovat odchozí připojení z úloh bez serveru, což snižuje riziko exfiltrace dat.

Pomocí zásad sítě můžete:

  • Vynutit postoj výchozího odepření: Řídit odchozí přístup s vysokou přesností povolením politiky výchozího odepření pro připojení k internetu, cloudové úložiště a rozhraní Databricks API.
  • Zjednodušení správy: Definujte konzistentní strategii řízení odchozích dat pro všechny bezserverové úlohy napříč různými bezserverovými produkty.
  • Snadná správa ve velkém měřítku: Centrálně spravujte nastavení ve více pracovních prostorech a vynucujte výchozí politiku pro databricksový účet.
  • Bezpečná implementace zásad: Zmírněte riziko tím, že nejprve vyhodnotíte účinky všech nových zásad v testovacím režimu před jejich úplným vynucením.

Řízení výchozího přenosu dat bez serveru se podporuje s následujícími bezserverovými produkty: poznámkové bloky, pracovní postupy, sql warehouses, kanály Lakeflow, obsluha modelů, monitorování kvality dat a aplikace Databricks s omezenou podporou.

Poznámka

Povolení omezení výchozího přenosu dat v pracovním prostoru brání aplikacím Databricks v přístupu k neoprávněným prostředkům. Implementace omezení výchozího přenosu dat ale může ovlivnit funkčnost aplikace.

Přehled zásad sítě

Zásady sítě jsou objekt konfigurace použitý na úrovni účtu. I když je možné přidružit jednu zásadu sítě k více pracovním prostorům, každý pracovní prostor je možné propojit pouze s jednou zásadou najednou.

Zásady sítě definují režim síťového přístupu pro úlohy bez serveru v přidružených pracovních prostorech. Existují dva primární režimy:

  • Plný přístup: Bezserverové úlohy mají neomezený odchozí přístup k internetu a dalším síťovým prostředkům.
  • Omezený přístup: Odchozí přístup je omezený na:
    • Externí umístění katalogu Unity: Externí umístění nakonfigurovaná v katalogu Unity, která jsou přístupná z pracovního prostoru. Oblast katalogu Unity musí být stejná jako oblast účtu úložiště Azure.
    • Explicitně definovaní adresáti: Úplné názvy domén (FQDN) a účet úložiště Azure jsou uvedeny v síťových zásadách.

Poznámka

Úplný přístup řídí pouze odchozí síťový přístup. Nastavení zásady na Úplný přístup neuděluje přístup napříč pracovními prostory: bezserverové úlohy stále můžou přistupovat pouze k rozhraním API pracovního prostoru, ve kterém běží. Přístup mezi pracovními prostory je řízen samostatně a není ovlivněn režimem přístupu k síti.

Zásady neřídí jenom odchozí přístup. Mohou také zahrnovat řízení příchozího provozu, které určuje, jak síťový provoz vstupuje do systému. Podrobnosti o konfiguraci ovládacích prvků příchozího přenosu dat najdete v tématu Řízení příchozího přenosu dat na základě kontextu.

Bezpečnostní strategie

Pokud je zásada sítě nastavená na režim omezeného přístupu, jsou odchozí síťová připojení z bezserverových úloh pevně řízená.

Chování Podrobnosti
Odepřít ve výchozím nastavení odchozí připojení Bezserverové úlohy mají přístup pouze k následujícím: cíle nakonfigurované prostřednictvím externích umístění katalogu Unity, která jsou ve výchozím nastavení povolená; plně kvalifikovaným názvům domén nebo umístěním úložiště, která jsou definována v zásadách; a rozhraní API pracovního prostoru stejného pracovního prostoru jako úloha. Oblast katalogu Unity musí být stejná jako oblast účtu úložiště Azure. Přístup mezi pracovními prostory je odepřen.
Bez přímého přístupu k úložišti Přímý přístup z uživatelského kódu v uživatelsky definovaných funkcích a poznámkových blocích je zakázán. Místo toho použijte abstrakce Databricks, jako je katalog Unity nebo připojení DBFS. Připojení DBFS umožňují zabezpečený přístup k datům v účtu úložiště Azure uvedeného v síťových zásadách.
Implicitně povolené cíle K účtu úložiště Azure, který je propojen s vaším pracovním prostorem, můžete vždy přistupovat, stejně jako k základním systémovým tabulkám a ukázkovým datovým sadám (pouze pro čtení).
Vynucování zásad pro privátní koncové body Odchozí přístup prostřednictvím privátních koncových bodů podléhá také pravidlům definovaným v zásadách sítě. Cíl musí být uvedený buď v katalogu Unity, nebo v rámci zásad. Tím se zajistí konzistentní vynucování zabezpečení napříč všemi metodami přístupu k síti.