IP-toegangslijsten beheren
In deze handleiding maakt u kennis met IP-toegangslijsten voor het Azure Databricks-account en werkruimten.
Overzicht van IP-toegangslijsten
Notitie
Voor deze functie is het Premium-abonnement vereist.
Standaard kunnen gebruikers vanaf elke computer of elk IP-adres verbinding maken met Azure Databricks. Met IP-toegangslijsten kunt u de toegang tot uw Azure Databricks-account en werkruimten beperken op basis van het IP-adres van een gebruiker. U kunt bijvoorbeeld IP-toegangslijsten zo configureren dat gebruikers alleen verbinding kunnen maken via bestaande bedrijfsnetwerken met een beveiligde perimeter. Als het interne VPN-netwerk is geautoriseerd, kunnen gebruikers die op afstand of onderweg zijn, de VPN gebruiken om verbinding te maken met het bedrijfsnetwerk. Als een gebruiker verbinding probeert te maken met Azure Databricks vanuit een onveilig netwerk, zoals vanuit een koffiebar, wordt de toegang geblokkeerd.
Er zijn twee ip-toegangslijstfuncties:
IP-toegangslijsten voor de accountconsole (openbare preview): accountbeheerders kunnen IP-toegangslijsten configureren voor de accountconsole, zodat gebruikers verbinding kunnen maken met de gebruikersinterface van de accountconsole en REST API's op accountniveau alleen via een set goedgekeurde IP-adressen. Accounteigenaren en accountbeheerders kunnen een gebruikersinterface van de accountconsole of een REST API gebruiken om toegestane en geblokkeerde IP-adressen en subnetten te configureren. Zie IP-toegangslijsten configureren voor de accountconsole.
IP-toegangslijsten voor werkruimten: werkruimtebeheerders kunnen IP-toegangslijsten configureren voor Azure Databricks-werkruimten, zodat gebruikers alleen via een set goedgekeurde IP-adressen verbinding kunnen maken met de werkruimte of API's op werkruimteniveau. Werkruimtebeheerders gebruiken een REST API om toegestane en geblokkeerde IP-adressen en subnetten te configureren. Zie IP-toegangslijsten configureren voor werkruimten.
Notitie
Als u Private Link gebruikt, zijn IP-toegangslijsten alleen van toepassing op aanvragen via internet (openbare IP-adressen). Privé-IP-adressen van Private Link-verkeer kunnen niet worden geblokkeerd door IP-toegangslijsten. Als u wilt bepalen wie toegang heeft tot Azure Databricks met behulp van private link, kunt u controleren welke privé-eindpunten zijn gemaakt. Zie Back-end- en front-endverbindingen van Azure Private Link inschakelen.
Hoe wordt de toegang gecontroleerd?
Met de functie IP-toegangslijsten kunt u acceptatielijsten en blokkeringslijsten configureren voor de Console en werkruimten van het Azure Databricks-account:
- Acceptatielijsten bevatten de set IP-adressen op het openbare internet die toegang hebben. Meerdere IP-adressen expliciet of als volledige subnetten toestaan (bijvoorbeeld
216.58.195.78/28). - Bloklijsten bevatten de IP-adressen of subnetten die moeten worden geblokkeerd, zelfs als ze zijn opgenomen in de acceptatielijst. U kunt deze functie gebruiken als een toegestaan IP-adresbereik een kleiner bereik van infrastructuur-IP-adressen bevat die in de praktijk buiten de werkelijke beveiligde netwerkperimeter vallen.
Wanneer een verbinding wordt geprobeerd:
- Eerst worden alle bloklijsten gecontroleerd. Als het IP-adres van de verbinding overeenkomt met een blokkeringslijst, wordt de verbinding geweigerd.
- Als de verbinding niet is geweigerd door bloklijsten, wordt het IP-adres vergeleken met de acceptatielijsten. Als er ten minste één acceptatielijst is, is de verbinding alleen toegestaan als het IP-adres overeenkomt met een acceptatielijst. Als er geen acceptatielijsten zijn, zijn alle IP-adressen toegestaan.
Als de functie is uitgeschakeld, is alle toegang tot uw account of werkruimte toegestaan.
Voor alle acceptatielijsten en bloklijsten gecombineerd ondersteunt de accountconsole maximaal 1000 IP-/CIDR-waarden, waarbij één CIDR als één waarde wordt geteld.
Het kan enkele minuten duren voordat wijzigingen in IP-toegangslijsten van kracht worden.