Freigeben über

Verwalten von IP-Zugriffslisten

  • Artikel

In diesem Leitfaden werden IP-Zugriffslisten für das Azure Databricks-Konto und die Arbeitsbereiche vorgestellt.

Übersicht über IP-Zugriffslisten

Hinweis

Für dieses Feature ist der Premium-Plan erforderlich.

Standardmäßig können Benutzer*innen über einen beliebigen Computer oder jede IP-Adresse eine Verbindung mit Azure Databricks herstellen. Mit IP-Zugriffslisten können Sie den Zugriff auf Ihr Azure Databricks-Konto und Ihre Arbeitsbereiche basierend auf der IP-Adresse von Benutzer*innen einschränken. Sie können beispielsweise IP-Zugriffslisten konfigurieren, damit Benutzer*innen nur über vorhandene Unternehmensnetzwerke mit einem sicheren Umkreis eine Verbindung herstellen können. Wenn das interne VPN-Netzwerk autorisiert ist, können Benutzer*innen, die remote oder unterwegs sind, das VPN verwenden, um eine Verbindung mit dem Unternehmensnetzwerk herzustellen. Wenn ein*e Benutzer*in versucht, eine Verbindung mit Azure Databricks aus einem unsicheren Netzwerk herzustellen, z. B. aus einem Café, wird der Zugriff blockiert.

Es gibt zwei IP-Zugriffslistenfeatures:

  • IP-Zugriffslisten für die Kontokonsole (öffentliche Vorschau):Kontoadministrator*innen können IP-Zugriffslisten für die Kontokonsole konfigurieren, damit Benutzer*innen eine Verbindung mit der Kontokonsolen-Benutzeroberfläche und REST-APIs auf Kontoebene nur über eine Reihe genehmigter IP-Adressen herstellen können. Kontobesitzer und Kontoadministratoren können eine Benutzeroberfläche der Kontokonsole oder eine REST-API verwenden, um zulässige und blockierte IP-Adressen und Subnetze zu konfigurieren. Siehe Konfigurieren von IP-Zugriffslisten für die Kontokonsole.

  • IP-Zugriffslisten für Arbeitsbereiche: Arbeitsbereichsadministrator*innen können IP-Zugriffslisten für Azure Databricks-Arbeitsbereiche konfigurieren, damit Benutzer*innen nur über eine Reihe genehmigter IP-Adressen eine Verbindung mit dem Arbeitsbereich oder APIs auf Arbeitsbereichsebene herstellen können. Arbeitsbereichsadministrator*innen verwenden eine REST-API, um zulässige und blockierte IP-Adressen und Subnetze zu konfigurieren. Siehe Konfigurieren von IP-Zugriffslisten für Arbeitsbereiche.

Hinweis

Wenn Sie Private Link verwenden, gelten IP-Zugriffslisten nur für Anforderungen über das Internet (öffentliche IP-Adressen). Private IP-Adressen aus Private Link-Datenverkehr können nicht durch IP-Zugriffslisten blockiert werden. Um zu steuern, wer über Private Link auf Azure Databricks zugreifen kann, können Sie überprüfen, welche privaten Endpunkte erstellt wurden. Siehe Aktivieren von Back-End- und Front-End-Verbindungen für Azure Private Link.

Wie wird der Zugriff überprüft?

Mit der Funktion „IP-Zugriffslisten“ können Sie Zulassungslisten und Sperrlisten für die Azure Databricks-Kontokonsole und -Arbeitsbereiche konfigurieren:

  • Zulassungslisten enthalten den Satz von IP-Adressen im öffentlichen Internet, denen Zugriff gewährt wurde. Lassen Sie mehrere IP-Adressen explizit oder als gesamte Subnetze zu (z. B. 216.58.195.78/28).
  • Sperrlisten enthalten die zu blockierenden IP-Adressen oder Subnetze, auch wenn sie in der Zulassungsliste enthalten sind. Sie könnten dieses Feature nutzen, wenn ein zulässiger IP-Adressbereich einen kleineren Bereich von Infrastruktur-IP-Adressen umfasst, die sich tatsächlich außerhalb des eigentlichen gesicherten Netzwerkumkreises befinden.

Wenn versucht wird, eine Verbindung herzustellen:

  1. Zuerst werden alle Listen „Blockieren“ überprüft. Wenn die Verbindungs-IP-Adresse einer Liste „Blockieren“ entspricht, wird die Verbindung abgelehnt.
  2. Wenn die Verbindung nicht durch Listen „Blockieren“ abgelehnt wurde, wird die IP-Adresse mit den Zulassungslisten verglichen. Wenn mindestens eine Zulassungsliste verfügbar ist, ist die Verbindung nur zulässig, wenn die IP-Adresse mit einer Zulassungsliste übereinstimmt. Wenn keine Zulassungslisten vorhanden sind, sind alle IP-Adressen zulässig.

Wenn die Funktion deaktiviert ist, ist der gesamte Zugriff auf Ihr Konto oder Ihren Arbeitsbereich zulässig.

Flussdiagramm mit IP-Zugriffslisten

Für alle Zulassungslisten und Listen „Blockieren“ in Kombination unterstützt die Kontokonsole maximal 1000 IP/CIDR-Werte, wobei ein CIDR als einzelner Wert zählt.

Es kann einige Minuten dauern, bis Änderungen an IP-Zugriffslisten in Kraft treten.