Administración de listas de acceso IP

En esta página se presentan las listas de acceso IP para las áreas de trabajo y la cuenta de Azure Databricks.

Introducción a las listas de acceso IP

Nota:

Esta característica requiere el plan Premium.

Las listas de acceso IP mejoran la seguridad al proporcionar control sobre qué redes pueden conectarse a su cuenta y áreas de trabajo de Azure Databricks. El valor predeterminado permite conexiones desde cualquier dirección IP.

• Restrinja el acceso en función de la dirección IP de origen del usuario.
• Permitir conexiones solo desde redes aprobadas, como oficinas corporativas o VPN.
• Bloquear los intentos de acceso desde redes públicas o no seguras, como cafeterías.

Existen dos características de la lista de acceso de IP:

• Listas de acceso IP para la consola de cuenta (versión preliminar pública): los administradores de cuentas pueden configurar listas de acceso IP para la consola de cuenta para permitir que los usuarios se conecten a la interfaz de usuario de la consola de cuenta y a las API REST de nivel de cuenta solo a través de un conjunto de direcciones IP aprobadas. Los propietarios y administradores de cuentas pueden usar una interfaz de usuario de la consola de la cuenta o una API de REST para configurar las direcciones IP y las subredes permitidas y bloqueadas. Consulte Listas de acceso de IP para la consola de la cuenta.

• Listas de acceso IP para áreas de trabajo: los administradores del área de trabajo pueden configurar listas de acceso IP para las áreas de trabajo de Azure Databricks para permitir que los usuarios se conecten al área de trabajo o a las API de nivel de área de trabajo solo a través de un conjunto de direcciones IP aprobadas. Los administradores del área de trabajo usan una API de REST para configurar las direcciones IP permitidas y bloqueadas y las subredes. Consulte Configurar listas de acceso IP para áreas de trabajo.

Nota:

Si usa Private Link, tenga en cuenta que las listas de acceso IP solo se aplican a las solicitudes a través de Internet (direcciones IP públicas). Las direcciones IP privadas del tráfico de Private Link no se pueden bloquear mediante listas de acceso IP. Para controlar quién puede acceder a Azure Databricks usando Private Link, puede comprobar qué puntos de conexión privados se han creado. Consulte Habilitar las conexiones de back-end y front-end de Azure Private Link.

¿Cómo se comprueba el acceso?

La característica de listas de acceso IP le permite configurar listas de permitidos y listas de bloqueos para la consola y las áreas de trabajo de la cuenta de Azure Databricks:

• Las listas de permitidos contienen el conjunto de direcciones IP en la red pública de Internet a la que se permite el acceso. Permita el acceso a varias direcciones IP explícitamente o como subredes enteras (por ejemplo, 216.58.195.78/28).
• Las listas de bloques contienen las direcciones IP o subredes que se van a bloquear, aunque se incluyan en la lista de permitidos. Puede usar esta característica si un intervalo de direcciones IP permitido incluye un intervalo más pequeño de direcciones IP de infraestructura que, en la práctica, están fuera del perímetro de red seguro real.

Cuando se intenta realizar una conexión:

1. En primer lugar, se comprueban todas las listas de bloqueados. Si la dirección IP de conexión coincide con cualquier lista de bloqueos, se rechaza la conexión.
2. Si las listas de bloqueados no rechazaron la conexión, la dirección IP se compara con las listas de permitidos. Si hay al menos una lista de permitidos, la conexión solo se permite si la dirección IP coincide con una lista de permitidos. Si no hay listas permitidas, se permiten todas las direcciones IP.

Si la característica está deshabilitada, se permite todo el acceso a su cuenta o área de trabajo.

Para todas las listas permitidas y listas de bloqueo combinadas, la consola de la cuenta admite un máximo de 1000 valores IP/CIDR, donde un CIDR cuenta como un solo valor.

Los cambios en las listas de acceso IP pueden tardar unos minutos en surtir efecto.