IP アクセス リスト

クラウド SaaS アプリケーションを使用する企業では、自社の従業員のアクセスを制限する必要があります。 認証はユーザー ID を証明するのに役立ちますが、ユーザーのネットワークの場所は強制されません。 セキュリティで保護されていないネットワークからクラウド サービスにアクセスすることにより、特に機密あるいは私的なデータへのアクセス権限がユーザーに付与されている場合、企業にとってセキュリティ上のリスクが生じることがあります。 企業のネットワーク境界によってセキュリティ ポリシーが適用され、外部サービスへのアクセスが制限されるため (ファイアウォール、プロキシ、DLP、ログなど)、これらのコントロールを超えるアクセスは信頼できないと想定されます。

たとえば、病院の従業員が Azure Databricks リソースにアクセスするとします。 ユーザーがオフィスからコーヒーショップまで歩いた場合、正しい資格情報を持っていても、病院は Azure Databricks リソースへの接続をブロックできます。

IP アクセス リストの機能は、次の 2 つがあります。

• ワークスペース向けの IP アクセス リスト: Azure Databricks ワークスペースを構成して、セキュリティで保護された境界と承認された IP アドレス セットを備えた既存の企業ネットワーク経由でのみユーザーがサービスに接続できるようにします。 ワークスペース管理者は、REST API を使用して、許可およびブロックする IP アドレスとサブネットを構成する必要があります。 「ワークスペース向けの IP アクセスのリスト」を参照してください。
• アカウント コンソール向けの IP アクセス リスト (パブリック プレビュー): Azure Databricks アカウント コンソールを構成して、セキュリティで保護された境界と承認された IP アドレス セットを備えた既存の企業ネットワーク経由でのみ、アカウント オーナーとアカウント管理者がアカウント コンソール UI とアカウント レベルの REST API (Account API など) に接続するようにします。 アカウント オーナーとアカウント管理者は、アカウント コンソール UI または REST API を使用して、許可およびブロックする IP アドレスとサブネットを構成できます。 「アカウント コンソール向けの IP アクセス リスト」を参照してください。

柔軟な構成

• 管理者は、アクセスが許可されるパブリック インターネット上の IP アドレスのセットを管理します。 これは許可リストと呼ばれます。 複数の IP アドレスを明示的に許可するか、CIDR 表記を使用してサブネット全体として許可します (例: 216.58.195.78/28)。
• 管理者は、許可リストに含まれていてもブロックする IP アドレスやサブネットを必要に応じて指定できます。 これはブロック リストと呼ばれます。 許可されている IP アドレス範囲に、実際にセキュリティで保護されたネットワーク境界の外部にある、より小さな範囲のインフラストラクチャ IP アドレスを含めるときに、この機能を使用できます。