Databricksの接続をプライベート化したい

Question

Databricksの接続をプライベート化したい

stakuya13-8561 60

Databricksのクラスタとワークスペースについて現状、パブリックアクセスの認識なのですが

プライベート化したいと考えております。以下についてご教示いただけないでしょうか。

①Databricksクラスタのパブリックアクセス設定は以下で確認できる認識で合っていますでしょうか。

　また、対象のDatabricksではプライベートエンドポイントを作成していますが、その場合、プライベートリンクで名前解決できる通信はプライベート通信可能でそれ以外はパブリック接続になっている認識で合っていますでしょうか。

Azure Portal で対象の Azure Databricks ワークスペースを開きます。
左側メニューの [設定] ＞ [ネットワーク] をクリックします。
[ネットワークアクセス] タブの「セキュリティで保護されたクラスター接続 (パブリック IP なし)」の設定を確認します。
- 有効（はい）： パブリック接続が無効化されており、閉域網で保護されています。
- 無効（いいえ）： クラスターの各ノードにパブリックIPアドレスが付与される設定になっています。

②Databricksワークスペースのパブリックアクセス

　「Databricks Account Console」にコンソールにログインし、左メニューから [Security] > [Networking] > [Ip Access List]を参照する

　ここで [Ip Access List]がEnableでもルールが一つもなければパブリックアクセスが有効化されている認識ですが齟齬ないでしょうか。

stakuya13-8561 60 評価のポイント

2026-05-21T04:16:11.88+00:00

追加失礼します。

①について一部のIPアドレスからのパブリック通信を許可するにはどのような設定が必要でしょうか。

　また、①でパブリックアクセスを閉塞した場合、Databricks管理用ストレージアカウントとDatabricks間の通信もプライベート化する必要はありますでしょうか。
stakuya13-8561 60 評価のポイント

2026-05-21T04:18:10.9833333+00:00

度々すみません。

③アプリではDatabricksは主にモデルのみ利用しているようなのですがモデル利用のアクセス制御をするために①、②以外の設定は必要でしょうか。

2 件の回答

お客様の回答

stakuya13-8561 60 評価のポイント

2026-05-21T04:16:11.88+00:00

追加失礼します。

①について一部のIPアドレスからのパブリック通信を許可するにはどのような設定が必要でしょうか。

　また、①でパブリックアクセスを閉塞した場合、Databricks管理用ストレージアカウントとDatabricks間の通信もプライベート化する必要はありますでしょうか。
stakuya13-8561 60 評価のポイント

2026-05-21T04:18:10.9833333+00:00

度々すみません。

③アプリではDatabricksは主にモデルのみ利用しているようなのですがモデル利用のアクセス制御をするために①、②以外の設定は必要でしょうか。

Answer 1

Pilladi Padma Sai Manisha 10,190 Microsoft 外部スタッフモデレーター

こんにちは。

Databricks のネットワーク制御については、「クラスターノードの公開有無」と「ワークスペース UI/API へのアクセス制御」を分けて整理すると分かりやすいです。

① クラスターのパブリックアクセス設定の確認方法 Azure ポータルで対象の Azure Databricks ワークスペースを開き、「ネットワーク」設定内の「セキュリティで保護されたクラスター接続 (No Public IP)」を確認します。

有効 (Yes) クラスター VM にパブリック IP は割り当てられません。ただし、通信経路を完全にプライベート化するには、Private Link、UDR、Firewall など追加のネットワーク構成が必要です。
無効 (No) クラスターノードに Public IP が割り当てられる可能性があります。

また、Private Endpoint を構成している場合、Private Link 用に名前解決された FQDN への通信はプライベート経路を使用します。一方で、Private Endpoint 未構成のエンドポイントや通常のパブリック DNS 解決となる通信は、引き続きパブリック経路を利用する可能性があります。

そのため、完全閉域化を行う場合は、Private DNS ゾーン、NSG、UDR、Firewall を含めた全体設計が重要になります。

② ワークスペース UI/API のアクセス制御 (IP Access List) Databricks Account Console の Security → Networking → IP Access List で設定を確認できます。

Disabled IP ベースのアクセス制御は行われません。
Enabled Allow / Block ルールに基づいてアクセス制御が行われます。なお、機能を有効化していても、Allow / Block ルールが構成されていない場合、実質的にアクセス制限は適用されません。

また、IP Access List は Databricks ワークスペース UI/API へのアクセス制御機能であり、クラスター VM のネットワーク通信制御とは別機能になります。

References: https://learn.microsoft.com/azure/databricks/security/network/classic/secure-cluster-connectivity https://learn.microsoft.com/azure/databricks/security/network/concepts/private-link https://learn.microsoft.com/azure/databricks/security/network/front-end/ip-access-list

stakuya13-8561 60 評価のポイント

2026-05-22T02:58:27.78+00:00

ご回答いただきありがとうございます。

＞「ネットワーク」設定内の「セキュリティで保護されたクラスター接続 (No Public IP)」を確認します。

現状ではこの設定が有効になっているのですが許可されていない外部の端末からInvoke-RestMethodリクエストが正常に打鍵できているのです。

つきましては以下、4点確認させてください。

・1点目

上記の設定が有効でも「公衆ネットワークアクセスを許可する」が有効な場合はパブリックアクセスできますでしょうか。

・2点目

上記のリクエストの送信元IPアドレスを確認したいのですが、確認方法をご教示いただけないでしょうか。

Databricksの診断ログからは確認できない様でした。

Geminiからは以下で確認できるといわれましたが推論テーブルは無効で、Logsはどこで確認できるのかわかりませんでした。

・3点目

①でパブリックアクセスを閉塞した場合、Databricks管理用ストレージアカウントとDatabricks間の通信もプライベート化する必要はありますでしょうか。

・4点目

③アプリではDatabricksは主にモデルのみ利用しているようなのですがモデル利用のアクセス制御をするために①、②以外の設定は必要でしょうか。
Pilladi Padma Sai Manisha 10,190 評価のポイント Microsoft 外部スタッフモデレーター

2026-05-27T03:03:23.1+00:00

こんにちは stakuya13-8561 ,

追加情報のご提供、および調査結果の共有をいただきありがとうございます。

お客様が観測された挙動は、「Allow public network access（パブリックネットワークアクセスを許可）」が有効な状態で、かつ「Secure Cluster Connectivity (No Public IP)（セキュアクラスター接続：パブリックIPなし）」も有効化されている場合に想定されるものです。

この構成では、クラスターノード自体にはパブリックIPアドレスが割り当てられないため、コンピュートノードへの直接的なインバウンドアクセスは遮断されます。しかし、「Allow public network access」が有効なままであれば、Databricksワークスペースのエンドポイント、REST API、およびモデルサービングのエンドポイントについては、引き続きパブリックネットワークからアクセス可能な状態が維持されます。そのため、外部の端末からであっても、引き続きAPIを正常に呼び出せる可能性があります。

パブリックアクセスを完全に制限するには、一般的に「Allow public network access」を無効化し、Azure Private LinkやPrivate Endpointを構成することが推奨されます。特定のパブリックIPアドレス範囲からのアクセスのみを許可したい場合には、「IP Access Lists（IPアクセスリスト）」を利用することも可能です。

送信元IPアドレスに関するお客様のご認識は、その通りでございます。Databricksの診断ログや「Inference Tables（推論テーブル）」は、モデル呼び出しリクエストにおけるクライアントの送信元IPアドレスを詳細に監査することを主たる目的として設計されているわけではありません。Inference Tablesには主にリクエストおよびレスポンスのペイロード情報が含まれ、コンテナログには主にランタイムログ、起動ログ、Pythonのエラー情報などが記録されます。

クライアントの送信元IPアドレスを特定・追跡するには、通常、ネットワーク層でのログ記録機能を利用する必要があります。具体的には、アーキテクチャに組み込まれている場合、Azure Firewallログ、NSGフローログ、Application Gateway/WAFログ、あるいはPrivate Linkの診断ログなどを参照することになります。

Databricksとマネージドストレージアカウント間の通信についてですが、もし「完全にプライベートなアーキテクチャ」の構築が要件であるならば、ストレージへの通信についても可能な限りプライベート化（閉域化）することが推奨されます。そうしない場合、たとえクラスターのパブリックIPアドレスを無効化していたとしても、一部の通信トラフィックがMicrosoftのパブリックエンドポイントを経由してしまう可能性があります。このようなシナリオにおいては、Private Endpoint、Private DNS、およびストレージアカウント側でのパブリックアクセス無効化設定を組み合わせることが、一般的な推奨構成となります。

モデル利用のみに特化したシナリオにおいては、ネットワーク関連の制御に加え、さらに広範なセキュリティ制御を適用することが一般的に推奨されます。具体的には、RBAC（ロールベースのアクセス制御）権限、Unity Catalogの権限設定、モデルサービングエンドポイントごとの権限設定、サービスプリンシパルによる認証、トークン管理、クラスターポリシー、および条件付きアクセス（Conditional Access）の制御などが挙げられます。デプロイされたモデルに対して「誰がアクセス・呼び出し可能か」を完全に制御するためには、ネットワーク層での制限のみでは不十分であるケースが一般的です。
Pilladi Padma Sai Manisha 10,190 評価のポイント Microsoft 外部スタッフモデレーター

2026-05-28T03:00:02.33+00:00

Hi stakuya13-8561,
I hope you had a chance to review the information shared earlier, and I hope this information has been helpful! If you still have questions, please let us know what is needed in the comments so the question can be answered.

Answer 2

① について、「セキュリティで保護されたクラスター接続 (パブリック IP なし)」が「有効（はい）： パブリック接続が無効化されており、閉域網で保護されています。」になっていれば、リソースに対してインターネットから直接アクセスすることはできません。プライベートエンドポイント経由のアクセスだけが可能です。

② Databricks の IP Access Lists の設定については「IP Access Lists API | REST API reference | Azure Databricks」を参照してください。 IP Access Lists が無効であれば、アクセス制御は行われていません。

参考

次の方法で共有

Databricksの接続をプライベート化したい

2 件の回答

お客様の回答