IP アクセス リストを管理する
このガイドでは、Azure Databricks のアカウントとワークスペースに対する IP アクセス リストについて説明します。
IP アクセス リストの概要
Note
この機能を使用するには、Premium プランが必要です。
既定では、ユーザーはどのようなコンピューターまたは IP アドレスからでも Azure Databricks に接続できます。 IP アクセス リストを使うと、ユーザーの IP アドレスに基づいて、Azure Databricks のアカウントとワークスペースへのアクセスを制限できます。 たとえば、セキュリティ保護された境界がある既存の企業ネットワークを通して接続しているユーザーだけを許可するように、IP アクセス リストを構成できます。 内部 VPN ネットワークが認可されている場合、リモート環境または出張中のユーザーは、その VPN を使って企業ネットワークに接続できます。 ユーザーが喫茶店などのセキュリティ保護されていないネットワークから Azure Databricks に接続しようとすると、アクセスはブロックされます。
IP アクセス リストの機能は、次の 2 つがあります。
アカウント コンソールに対する IP アクセス リスト (パブリック プレビュー): アカウント管理者は、承認された一連の IP アドレスからのみ、ユーザーがアカウント コンソールの UI とアカウント レベルの REST API に接続できるように、アカウント コンソールに対する IP アクセス リストを構成できます。 アカウント オーナーとアカウント管理者は、アカウント コンソール UI または REST API を使用して、許可およびブロックする IP アドレスとサブネットを構成できます。 「アカウント コンソール向けの IP アクセス リストを構成する」をご覧ください。
ワークスペースに対する IP アクセス リスト: ワークスペース管理者は、承認された一連の IP アドレスからのみ、ユーザーがワークスペースまたはワークスペース レベルの API に接続できるように、Azure Databricks ワークスペースに対する IP アクセス リストを構成できます。 ワークスペース管理者は、REST API を使って、許可およびブロックする IP アドレスとサブネットを構成します。 「ワークスペース向けの IP アクセス リストを構成する」をご覧ください。
Note
Private Link を使用する場合、IP アクセス リストはインターネット (パブリック IP アドレス) からの要求にのみ適用されます。 Private Link トラフィックからのプライベート IP アドレスは、IP アクセス リストでブロックできません。 プライベート リンクを使って Azure Databricks にアクセスできるユーザーを制御するには、作成されているプライベート エンドポイントを調べることができます。「Azure Private Link のバックエンド接続とフロントエンド接続を有効にする」をご覧ください。
アクセスの確認方法
IP アクセス リスト機能を使うと、Azure Databricks のアカウント コンソールとワークスペースに対して許可リストとブロック リストを構成できます。
- 許可リストには、アクセスが許可されるパブリック インターネット上の IP アドレスのセットが含まれます。 複数の IP アドレスを明示的に許可するか、サブネット全体として許可します (例:
216.58.195.78/28
)。 - ブロック リストには、ブロックする (許可リストに含まれる場合であっても) IP アドレスまたはサブネットが含まれます。 許可されている IP アドレス範囲に、実際にセキュリティで保護されたネットワーク境界の外部にある、より小さな範囲のインフラストラクチャ IP アドレスを含めるときに、この機能を使用できます。
接続が試行された場合:
- 最初にすべてのブロック リストがチェックされます。 接続 IP アドレスがブロック リストと一致する場合、接続は拒否されます。
- 接続がブロック リストによって拒否されない場合、IP アドレスは許可リストと比較されます。 少なくとも 1 つの許可リストがある場合は、IP アドレスが許可リストと一致する場合にのみ、接続が許可されます。 許可リストがない場合は、すべての IP アドレスが許可されます。
この機能が無効になっている場合は、アカウントまたはワークスペースへのすべてのアクセスが許可されます。
すべての許可リストとブロック リストを組み合わせた場合、アカウント コンソールでは最大 1,000 個の IP/CIDR 値がサポートされます。この場合、1 つの CIDR が 1 つの値としてカウントされます。
IP アクセス リストの変更が有効になるまで、数分かかる場合があります。