Kontextbasierte Zugriffskontrolle

Von Bedeutung

Dieses Feature befindet sich in der Public Preview.

Hinweis

Für dieses Feature ist die Premium-Stufe erforderlich.

Von Bedeutung

Die kontextbasierte Eingangsrichtlinie auf Kontoebene befindet sich in der Betaversion.

Diese Seite bietet eine Übersicht über die kontextbasierte Zugangskontrolle. Informationen zur serverlosen Ausgangssteuerung finden Sie unter Was ist serverloses Ausgangssteuerelement?.

Informationen zum Konfigurieren von Eingangsrichtlinien finden Sie unter Verwalten kontextbasierter Eingangsrichtlinien.

Übersicht über kontextbasierte Zugangskontrolle

Die kontextbasierte Steuerung eingehender Zugriffe arbeitet zusammen mit IP-Zugriffslisten und der privaten Frontend-Konnektivität, damit Kontoadministratoren Regeln zum Zulassen und Verweigern festlegen können, die kombinieren, wer zugreift, von wo aus zugegriffen wird und worauf in Azure Databricks zugegriffen werden kann. Dadurch wird sichergestellt, dass nur vertrauenswürdige Kombinationen aus Identität, Anforderungstyp und Netzwerkquelle Ihren Arbeitsbereich erreichen können. Die kontextbasierte Zugriffskontrolle wird auf der Kontoebene konfiguriert. Eine einzelne Richtlinie kann mehrere Arbeitsbereiche steuern.

Mit kontextbasiertem Eingangs können Sie:

  • Beenden Sie den Zugriff von nicht vertrauenswürdigen Netzwerken, indem Sie zusätzlich zu den Anmeldeinformationen einen zweiten Faktor, eine vertrauenswürdige Netzwerkquelle, benötigen.
  • Ermöglichen Sie SaaS-Clients ohne feste Egress-IPs den Zugriff, indem Sie die Identität statt IP-Adressbereichen als Grundlage verwenden.
  • Beschränken Sie den Zugriff, indem Sie weniger vertrauenswürdigen Quellen erlauben, nur bestimmte Berechtigungsbereiche wie Azure-Databricks-APIs oder die Arbeitsbereichs-UI zu verwenden.
  • Schützen Sie die privilegierte Automatisierung: Beschränken Sie besonders schützenswerte Service Principals ausschließlich auf hochvertrauenswürdige Netzwerke.
  • Effektive Überwachung: Erfassen Sie detaillierte Denialprotokolle in Unity Catalog-Systemtabellen, um blockierte Anforderungen zu überwachen.

Kontextbasierte Eingangssteuerungskernkonzepte

Netzwerkquellen

Eine Netzwerkquelle definiert den Ursprung von Anforderungen. Unter anderem unterstützte Typen:

Richtlinie für den öffentlichen Zugriff:

  • Alle öffentlichen IPs: alle öffentlichen Internetquellen.
  • Ausgewählte IPs: Bestimmte IPv4-Adressen oder CIDR-Bereiche.

Richtlinie für den privaten Zugriff:

  • Alle registrierten privaten Endpunkte: Jeder registrierte private Endpunkt im Konto.
  • Ausgewählte private Endpunkte: Bestimmte registrierte private Endpunkte im Konto.

Zugriffstypen

Regeln gelten für unterschiedliche Bereiche eingehender Anforderungen. Jeder Bereich stellt eine Kategorie eingehender Anforderungen dar, die Sie zulassen oder verweigern können:

Zugriffstypen für Arbeitsbereichsrichtlinien:

  • Arbeitsbereichs-UI: Browserzugriff auf den Arbeitsbereich.
  • API: Programmatischer Zugriff über die Azure Databricks-APIs, einschließlich SQL-Endpunkten (JDBC / ODBC). Sie können auf alle APIs oder einen bestimmten API-Bereich abzielen, z. B. Apps, Dashboard oder Modellbereitstellung.
  • Apps-Laufzeit: Zulassen oder Verweigern des Zugriffs auf Databricks Apps-Bereitstellungen. Siehe Databricks-Apps. Nur die Identitätsoption "Alle Benutzer" und "Dienstprinzipale" wird für diesen Zugriffstyp unterstützt.
  • Lakebase Compute: Verbindungen mit Lakebase-Datenbankinstanzen. Siehe Lakebase-Instanzen. Nur die Identitätsoption "Alle Benutzer" und "Dienstprinzipale" wird für diesen Zugriffstyp unterstützt.

account-policy Zugriffstypen:

  • Kontobenutzeroberfläche: Browserzugriff auf Ressourcen auf Kontoebene (z. B. Kontokonsole und Genie auf Kontoebene).
  • Konto-API: Programmgesteuerter Zugriff über Azure Databricks Konto-APIs.

Identitäten

Regeln können auf unterschiedliche Identitätstypen abzielen. Für die Access-Typen "Apps-Runtime " und " Lakebase Compute " ist die einzige unterstützte Option "Alle Benutzer und Dienstprinzipale".

In der account-policy ist die einzige unterstützte Option Alle Benutzer und Dienstprinzipale.

  • Alle Benutzer und Dienstprinzipale: Sowohl menschliche Benutzer als auch Automatisierung.
  • Alle Benutzer: Nur menschliche Benutzer.
  • Alle Dienstprinzipale: Nur Automatisierungsidentitäten.
  • Ausgewählte Identitäten: Bestimmte Benutzer oder Dienstprinzipale, die vom Administrator ausgewählt wurden.

Regelauswertung

  • Standardverweigerung: Im eingeschränkten Modus wird der Zugriff verweigert, es sei denn, der Zugriff ist explizit zulässig.
  • Vor der Zulassung verweigern: Mit Verweigerungsregeln können Sie Ausnahmen für Ihre Zulassungsregeln definieren.
  • Standard-Arbeitsbereichsrichtlinie: Für jedes Konto gilt eine Standard-Ingress-Richtlinie für Arbeitsbereiche, die auf alle geeigneten Arbeitsbereiche angewendet wird, denen nicht explizit eine Richtlinie zugewiesen ist.

Durchsetzungsmodi

Kontextbasierte Eingangsrichtlinien ermöglichen zwei Modi:

  • Erzwungen für alle Produkte: Azure Databricks setzt Regeln aktiv durch und blockiert Anfragen, die dagegen verstoßen.
  • Testlaufmodus für alle Produkte: Azure Databricks protokolliert Verstöße, blockiert jedoch keine Anfragen. Verwenden Sie diesen Modus, um die Auswirkungen der Richtlinie vor der Erzwingung auszuwerten.

Hinweis

Eine Netzwerkrichtlinie unterstützt jeweils nur einen Erzwingungsmodus.

Überwachung

Abgelehnte oder Testlaufanforderungen werden in der Systemtabelle system.access.inbound_network protokolliert. Wenn Sie keinen Zugriff auf Systemtabellen haben, kann ein Metastore-Administrator Ihnen Berechtigungen erteilen. Siehe Gewähren des Zugriffs auf Systemtabellen.

Jeder Protokolleintrag umfasst:

  • Ereigniszeit
  • Arbeitsbereichs-ID
  • Anforderungstyp
  • Identität
  • Netzwerkquelle
  • Zugriffstyp (VERWEIGERT oder DRY_RUN_DENIAL)

Fragen Sie diese Protokolle ab, um zu überprüfen, ob Ihre Regeln wie erwartet funktionieren, und um unerwartete Zugriffsversuche abzufangen.

Hinweis

account-policy Ablehnungen werden noch nicht protokolliert.

:::

Beziehung zu anderen Steuerelementen

  • Ip-Zugriffslisten für Arbeitsbereiche: Ausgewertet, bevor die kontextbasierte Eingangsrichtlinie eine Anforderung zulässt. Beide müssen die Anforderung zulassen. Arbeitsbereich-IP-Zugriffslisten können den Zugriff weiter einschränken, aber nicht verbreitern.
  • Serverlose Ausgangssteuerung: Ergänzt Eingangsrichtlinien durch die Steuerung des ausgehenden Netzwerkverkehrs von serverlosem Compute. Siehe "Verwalten von Netzwerkrichtlinien".
  • Private Front-End-Konnektivität: Zusammen mit Ingress-Richtlinien erzwungen, wenn Öffentlichen Netzwerkzugriff erlaubenaktiviert ist. Wenn Öffentlicher Netzwerkzugriffdeaktiviert ist, wird sämtlicher öffentlicher Datenverkehr blockiert und die Eingangsrichtlinien werden nicht ausgewertet. Siehe Konfigurieren eingehender privater Verknüpfungen.
  • Umschalter „Zugriff über öffentliches Netzwerk zulassen“: Wenn Zugriff über öffentliches Netzwerk zulassen auf Aktiviert gesetzt ist, werden IP-Zugriffslisten für Arbeitsbereiche ausgewertet. Andernfalls wird aller öffentliche eingehende Zugriff blockiert, und die Richtlinien für den öffentlichen eingehenden Zugriff des Arbeitsbereichs werden nicht ausgewertet.

Bewährte Methoden

  • Beginnen Sie mit dem Trockenlaufmodus, um Auswirkungen zu beobachten, ohne den Zugriff zu unterbrechen.
  • Verwenden Sie identitätsbasierte Regeln, sofern möglich, für SaaS-Clients, die IPs drehen.
  • Wenden Sie Verweigerungsregeln zuerst auf privilegierte Dienstprinzipale an, um den betroffenen Bereich einzuschränken.
  • Achten Sie darauf, dass Richtliniennamen klar und konsistent sind.

Hinweis

Kontextbasierte Zugriffskontrolle ist in der Azure-Region Westindien nicht verfügbar.