Freigeben über

Verwalten von IP-Zugriffslisten

  • Artikel

In diesem Leitfaden werden IP-Zugriffslisten für das Azure Databricks-Konto und die Arbeitsbereiche vorgestellt.

Übersicht über IP-Zugriffslisten

Hinweis

Für dieses Feature ist der Premium-Plan erforderlich.

Standardmäßig können Benutzer*innen über einen beliebigen Computer oder jede IP-Adresse eine Verbindung mit Azure Databricks herstellen. Mit IP-Zugriffslisten können Sie den Zugriff auf Ihr Azure Databricks-Konto und Ihre Arbeitsbereiche basierend auf der IP-Adresse von Benutzer*innen einschränken. Sie können beispielsweise IP-Zugriffslisten konfigurieren, damit Benutzer*innen nur über vorhandene Unternehmensnetzwerke mit einem sicheren Umkreis eine Verbindung herstellen können. Wenn das interne VPN-Netzwerk autorisiert ist, können Benutzer*innen, die remote oder unterwegs sind, das VPN verwenden, um eine Verbindung mit dem Unternehmensnetzwerk herzustellen. Wenn ein*e Benutzer*in versucht, eine Verbindung mit Azure Databricks aus einem unsicheren Netzwerk herzustellen, z. B. aus einem Café, wird der Zugriff blockiert.

Es gibt zwei IP-Zugriffslistenfeatures:

  • IP-Zugriffslisten für die Kontokonsole (öffentliche Vorschau):Kontoadministrator*innen können IP-Zugriffslisten für die Kontokonsole konfigurieren, damit Benutzer*innen eine Verbindung mit der Kontokonsolen-Benutzeroberfläche und REST-APIs auf Kontoebene nur über eine Reihe genehmigter IP-Adressen herstellen können. Kontobesitzer und Kontoadministratoren können eine Benutzeroberfläche der Kontokonsole oder eine REST-API verwenden, um zulässige und blockierte IP-Adressen und Subnetze zu konfigurieren. Siehe Konfigurieren von IP-Zugriffslisten für die Kontokonsole.

  • IP-Zugriffslisten für Arbeitsbereiche: Arbeitsbereichsadministrator*innen können IP-Zugriffslisten für Azure Databricks-Arbeitsbereiche konfigurieren, damit Benutzer*innen nur über eine Reihe genehmigter IP-Adressen eine Verbindung mit dem Arbeitsbereich oder APIs auf Arbeitsbereichsebene herstellen können. Arbeitsbereichsadministrator*innen verwenden eine REST-API, um zulässige und blockierte IP-Adressen und Subnetze zu konfigurieren. Siehe Konfigurieren von IP-Zugriffslisten für Arbeitsbereiche.

Hinweis

Wenn Sie Private Link verwenden, gelten IP-Zugriffslisten nur für Anforderungen über das Internet (öffentliche IP-Adressen). Private IP-Adressen aus Private Link-Datenverkehr können nicht durch IP-Zugriffslisten blockiert werden. Um zu steuern, wer über Private Link auf Azure Databricks zugreifen kann, können Sie überprüfen, welche privaten Endpunkte erstellt wurden. Siehe Aktivieren von Back-End- und Front-End-Verbindungen für Azure Private Link.

Wie wird der Zugriff überprüft?

Mit der Funktion „IP-Zugriffslisten“ können Sie Zulassungslisten und Sperrlisten für die Azure Databricks-Kontokonsole und -Arbeitsbereiche konfigurieren:

  • Zulassungslisten enthalten den Satz von IP-Adressen im öffentlichen Internet, denen Zugriff gewährt wurde. Lassen Sie mehrere IP-Adressen explizit oder als gesamte Subnetze zu (z. B. 216.58.195.78/28).
  • Sperrlisten enthalten die zu blockierenden IP-Adressen oder Subnetze, auch wenn sie in der Zulassungsliste enthalten sind. Sie könnten dieses Feature nutzen, wenn ein zulässiger IP-Adressbereich einen kleineren Bereich von Infrastruktur-IP-Adressen umfasst, die sich tatsächlich außerhalb des eigentlichen gesicherten Netzwerkumkreises befinden.

Wenn versucht wird, eine Verbindung herzustellen:

  1. Zuerst werden alle Listen „Blockieren“ überprüft. Wenn die Verbindungs-IP-Adresse einer Liste „Blockieren“ entspricht, wird die Verbindung abgelehnt.
  2. Wenn die Verbindung nicht durch Listen „Blockieren“ abgelehnt wurde, wird die IP-Adresse mit den Zulassungslisten verglichen. Wenn mindestens eine Zulassungsliste verfügbar ist, ist die Verbindung nur zulässig, wenn die IP-Adresse mit einer Zulassungsliste übereinstimmt. Wenn keine Zulassungslisten vorhanden sind, sind alle IP-Adressen zulässig.

Wenn die Funktion deaktiviert ist, ist der gesamte Zugriff auf Ihr Konto oder Ihren Arbeitsbereich zulässig.

IP access list flow diagram

Für alle Zulassungslisten und Listen „Blockieren“ in Kombination unterstützt die Kontokonsole maximal 1000 IP/CIDR-Werte, wobei ein CIDR als einzelner Wert zählt.

Es kann einige Minuten dauern, bis Änderungen an IP-Zugriffslisten in Kraft treten.