Gérer les listes d’accès IP
Ce guide présente les listes d’accès IP pour les espaces de travail et le compte Azure Databricks.
Vue d’ensemble des listes d’accès IP
Remarque
cette fonctionnalité nécessite le plan Premium.
Les utilisateurs peuvent par défaut se connecter à Azure Databricks à partir de n’importe quel ordinateur ou adresse IP. Les listes d’accès IP vous permettent de limiter l’accès à vos espaces de travail et à votre compte Azure Databricks en fonction de l’adresse IP d’un utilisateur. Par exemple, vous pouvez configurer des listes d’accès IP pour autoriser des utilisateurs à se connecter uniquement via des réseaux d’entreprise existants avec un périmètre sécurisé. Si le réseau VPN interne est autorisé, les utilisateurs distants ou en déplacement peuvent utiliser le VPN pour se connecter au réseau d’entreprise. Si un utilisateur tente de se connecter à Azure Databricks à partir d’un réseau non sécurisé, tel qu’un café, l’accès est bloqué.
Il existe deux fonctionnalités de liste d’accès IP :
Listes d’accès IP pour la console de compte (Préversion publique) : les administrateurs de compte peuvent configurer des listes d’accès IP pour la console de compte afin d’autoriser les utilisateurs à se connecter uniquement à l’interface utilisateur de la console de compte et à des API REST au niveau du compte via un jeu d’adresses IP approuvées. Les propriétaires de comptes et les administrateurs de compte peuvent utiliser une interface utilisateur de console de compte ou une API REST pour configurer des adresses IP et des sous-réseaux autorisés et bloqués. Voir Configurer des listes d’accès IP pour la console de compte.
Listes d’accès IP pour des espaces de travail : les administrateurs d’espace de travail peuvent configurer des listes d’accès IP pour des espaces de travail Azure Databricks afin d’autoriser les utilisateurs à se connecter uniquement à l’espace de travail ou à des API au niveau de l’espace de travail via un ensemble d’adresses IP approuvées. Les administrateurs d’espace de travail doivent utiliser une API REST pour configurer les adresses IP autorisées et bloquées, et les sous-réseaux. Voir Configurer des listes d’accès IP pour les espaces de travail.
Remarque
Si vous utilisez Private Link, les listes d’accès IP s’appliquent uniquement aux requêtes sur Internet (adresses IP publiques). Les adresses IP privées provenant du trafic Private Link ne peuvent pas être bloquées par les listes d’accès IP. Pour contrôler qui peut accéder à Azure Databricks à l’aide d’une liaison privée, vous pouvez vérifier quels points de terminaison privés ont été créés, consultez Activer le back-end Azure Private Link et les connexions frontales.
Comment l’accès est-il vérifié ?
La fonctionnalité des listes d’accès IP vous permet de configurer des listes vertes et des listes bloquées pour la console de compte et les espaces de travail Azure Databricks :
- Les Listes vertes contiennent l’ensemble d’adresses IP sur l’Internet public auquel l’accès est autorisé. Autorisez plusieurs adresses IP explicitement ou sous la forme de sous-réseaux entiers (par exemple,
216.58.195.78/28). - Les Listes bloquées contiennent les adresses IP et sous-réseaux à bloquer, même s’ils sont inclus dans la liste verte. Par exemple, une plage d’adresses IP autorisée peut inclure une plus petite plage d’adresses IP d’infrastructure qui se trouvent, dans la pratique, en dehors du périmètre de réseau sécurisé réel.
Lors d’une tentative de connexion :
- Toutes les listes rouges sont vérifiées. Si l’adresse IP de connexion correspond à une liste rouge, la connexion est rejetée.
- Si la connexion n’a pas été rejetée par des listes de blocage, l’adresse IP est comparée aux listes d’autorisation. S’il existe au moins une liste verte, la connexion est autorisée uniquement si l’adresse IP correspond à une liste verte. S’il n’existe aucune liste verte, toutes les adresses IP sont autorisées.
Si la fonctionnalité est désactivée, tous les accès sont autorisés à votre compte ou espace de travail.
Pour toutes les listes autorisées et bloquées combinées, la console de compte prend en charge un maximum de 1 000 valeurs IP/CIDR, où un CIDR compte comme une seule valeur.
L’application des modifications apportées aux listes d’accès IP peut prendre quelques minutes.