Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato stránka představuje seznamy přístupu IP adres pro účet a pracovní prostory Azure Databricks.
Přehled přístupových seznamů IP adres
Poznámka:
Tato funkce vyžaduje plán Premium.
Seznamy přístupu k IP adresám zlepšují zabezpečení tím, že poskytují kontrolu nad tím, které sítě se můžou připojit k vašemu účtu a pracovním prostorům Azure Databricks. Výchozí nastavení umožňuje připojení z jakékoli IP adresy.
- Omezte přístup na základě zdrojové IP adresy uživatele.
- Povolte připojení jenom ze schválených sítí, jako jsou firemní pobočky nebo sítě VPN.
- Zablokujte pokusy o přístup z nezabezpečených nebo veřejných sítí, jako jsou kavárny.
Existují dvě funkce přístupového seznamu IP adres:
- Přístupové seznamy IP adres pro konzolu účtu (Public Preview): Správci účtů můžou pro konzolu účtu nakonfigurovat seznamy přístupu IP, aby se uživatelé mohli připojit k uživatelskému rozhraní konzoly účtů a rozhraním REST API na úrovni účtu pouze prostřednictvím sady schválených IP adres. Vlastníci účtů a správci účtů můžou ke konfiguraci povolených a blokovaných IP adres a podsítí použít uživatelské rozhraní konzoly účtu nebo rozhraní REST API. Viz Konfigurace přístupových seznamů IP adres pro konzolu účtu.
- Přístupové seznamy IP adres pro pracovní prostory: Správci pracovního prostoru můžou nakonfigurovat přístupové seznamy IP adres pro pracovní prostory Azure Databricks, aby se uživatelé mohli připojit k pracovnímu prostoru nebo rozhraním API na úrovni pracovního prostoru jenom prostřednictvím sady schválených IP adres. Správci pracovních prostorů používají rozhraní REST API ke konfiguraci povolených a blokovaných IP adres a podsítí. Viz Konfigurace přístupových seznamů IP adres pro pracovní prostory.
Poznámka:
Pokud používáte službu Private Link, přístupové seznamy IP adres se vztahují pouze na požadavky přes internet (veřejné IP adresy). Privátní IP adresy z provozu služby Private Link nelze blokovat seznamy přístupu IP. Pokud chcete určit, kdo má přístup k Azure Databricks pomocí privátního propojení, můžete zkontrolovat, které privátní koncové body byly vytvořeny, viz koncepty služby Azure Private Link.
Kontextové ovládací prvky příchozího přenosu dat
Důležité
Tato funkce je ve verzi Public Preview.
Zatímco seznamy přístupů podle IP adres filtrují požadavky pouze na základě zdrojových IP adres, kontextové ovládací prvky pro řízení přístupu umožňují správcům účtů kombinovat více podmínek, jako je identita uživatele, typ požadavku a zdroj sítě, do pravidel umožňujících nebo blokujících přístup. Tyto zásady poskytují podrobnější kontrolu nad tím, kdo se může spojit s vaším pracovním prostorem a odkud.
Kontextové řízení přístupu se konfiguruje na úrovni účtu. Jedna zásada může řídit více pracovních prostorů a zajistit konzistentní vynucování ve vaší organizaci.
Oba ovládací prvky se použijí společně. Požadavek musí být povolený zásadami příchozího přístupu založeného na kontextu na úrovni účtu a každým seznamem přístupu IP adres pracovního prostoru. Kontextový ingres může omezit přístup na základě identity nebo rozsahu požadavku a IP seznamy přístupu můžou omezit přístup na základě síťového umístění. Pokud některý z ovládacích prvků požadavek zablokuje, přístup se odepře.
Viz Řízení příchozího přenosu dat na základě kontextu.
Jak je kontrolován přístup?
Funkce přístupových seznamů IP adres umožňuje konfigurovat seznamy povolených a blokovaných seznamů pro konzolu a pracovní prostory účtu Azure Databricks:
-
Seznamy povolených adres obsahují sadu IP adres na veřejném internetu, které mají povolený přístup. Povolit více IP adres explicitně nebo jako celé podsítě (například
216.58.195.78/28). - Seznamy bloků obsahují IP adresy nebo podsítě, které se mají blokovat, i když jsou zahrnuté v seznamu povolených. Tuto funkci můžete použít, pokud povolený rozsah IP adres zahrnuje menší rozsah IP adres infrastruktury, které jsou v praxi mimo skutečnou zabezpečenou síťovou hraniční síť.
Při pokusu o připojení:
- Nejprve jsou zkontrolovány všechny seznamy bloků. Pokud IP adresa připojení odpovídá libovolnému seznamu blokovaných adres, připojení se odmítne.
- Pokud se připojení neodmítalo seznamy blokových adres, porovná se IP adresa se seznamy povolených. Pokud existuje aspoň jeden seznam povolených, je připojení povolené jenom v případě, že IP adresa odpovídá seznamu povolených. Pokud žádné seznamy povolených nejsou, jsou povoleny všechny IP adresy.
Pokud je tato funkce zakázaná, je povolený veškerý přístup k vašemu účtu nebo pracovnímu prostoru.
Pro všechny seznamy povolených a blokových seznamů v kombinaci konzola účtu podporuje maximálně 1000 hodnot IP/CIDR, kde se jedna ciDR počítá jako jedna hodnota.
Změny přístupových seznamů IP adres mohou trvat několik minut, než se projeví.
Další kroky
- Konfigurace přístupových seznamů IP adres pro konzolu účtu: Nastavte omezení IP adres pro přístup ke konzole účtu, abyste mohli řídit, které sítě mají přístup k nastavení a rozhraním API na úrovni účtu. Viz Konfigurace přístupových seznamů IP adres pro konzolu účtu.
- Konfigurace přístupových seznamů IP adres pro pracovní prostory: Implementujte omezení IP adres pro přístup k pracovnímu prostoru a určete, které sítě se můžou připojit k vašim pracovním prostorům Azure Databricks. Viz Konfigurace přístupových seznamů IP adres pro pracovní prostory.
- Konfigurace privátního připojení: Pomocí služby Private Link můžete vytvořit zabezpečený a izolovaný přístup ke službám Azure z vaší virtuální sítě a obejít veřejný internet. Podívejte se na koncepty služby Azure Private Link.