Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Bu özellik Genel Önizleme aşamasındadır.
Bu sayfada bağlam tabanlı giriş denetimine genel bir bakış sağlanır. Sunucusuz çıkış denetimi için bkz. Sunucusuz çıkış denetimi nedir?.
Giriş ilkelerini yapılandırmak için bkz. Bağlam tabanlı giriş ilkelerini yönetme.
Bağlam tabanlı giriş denetimine genel bakış
Bağlam tabanlı giriş denetimi IP erişim listeleri ve ön uç özel bağlantısıyla birlikte çalışarak hesap yöneticilerinin kimin aradığını, nerede aradıklarını ve Azure Databricks'te ulaşabileceklerini birleştiren izin verme ve reddetme kuralları ayarlamasını sağlar. Bu, yalnızca güvenilir kimlik, istek türü ve ağ kaynağı birleşimlerinin çalışma alanınıza ulaşmasını sağlar. Bağlam tabanlı giriş denetimi hesap düzeyinde yapılandırılır. Tek bir ilke birden çok çalışma alanını yöneterek kuruluşunuz genelinde tutarlı bir zorlama sağlayabilir.
Bağlam tabanlı girişi kullanarak şunları yapabilirsiniz:
- Kimlik bilgilerine ek olarak ikinci bir faktör olan güvenilir bir ağ kaynağı gerektirerek güvenilmeyen ağlardan erişimi durdurun.
- IP aralıkları yerine kimliğe odaklanarak sabit çıkış IP'leri olmayan SaaS istemcileri için erişime izin verin.
- Daha az güvenilen kaynakların yalnızca Databricks API'leri veya çalışma alanı kullanıcı arabirimi gibi belirli kapsamları kullanmasına izin vererek erişimi sınırlayın.
- Ayrıcalıklı otomasyonu koruma: Yüksek değerli hizmet sorumlularını yalnızca yüksek güvenilir ağlarla sınırlandırın.
- Etkili denetim: Engellenen istekleri izlemek için Unity Kataloğu sistem tablolarında ayrıntılı reddetme günlüklerini yakalayın.
Bağlam tabanlı giriş denetimi temel kavramları
Ağ kaynakları
Ağ kaynağı, isteklerin kaynağını tanımlar. Desteklenen türler şunlardır:
- Tüm genel IP'ler: Herhangi bir genel İnternet kaynağı.
- Seçili IP'ler: Belirli IPv4 adresleri veya CIDR aralıkları.
Erişim türleri
Kurallar farklı gelen istek kapsamlarına uygulanır. Her kapsam, izin verebileceğiniz veya reddedebileceğiniz bir gelen istek kategorisini temsil eder:
- Çalışma alanı kullanıcı arabirimi: Çalışma alanına tarayıcı erişimi.
- API: SQL uç noktaları (JDBC / ODBC) dahil olmak üzere Databricks API'leri aracılığıyla programlı erişim.
- Uygulamalar: Databricks Uygulamaları dağıtımlarına erişim izni verin veya erişimi reddedin. Bkz. Databricks Uygulamaları. Bu erişim türü için yalnızca Tüm kullanıcılar ve hizmet sorumluları kimlik seçeneği desteklenir.
- Lakebase İşlem: Lakebase veritabanı örneklerine bağlantılar. Bkz. Lakebase örnekleri. Bu erişim türü için yalnızca Tüm kullanıcılar ve hizmet sorumluları kimlik seçeneği desteklenir.
Kimlik
Kurallar farklı kimlik türlerini hedefleyebilir. Uygulamalar ve Lakebase İşlem erişim türleri için desteklenen tek seçenek Tüm kullanıcılar ve hizmet sorumlularıdır.
- Tüm kullanıcılar ve hizmet sorumluları: Hem insan kullanıcılar hem de otomasyon.
- Tüm kullanıcılar: Yalnızca insan kullanıcılar.
- Tüm hizmet sorumluları: Yalnızca otomasyon kimlikleri.
- Seçili kimlikler: Yönetici tarafından seçilen belirli kullanıcılar veya hizmet sorumluları.
Kural değerlendirmesi
- Varsayılan reddetme: Kısıtlı modda, açıkça izin verilmediği sürece erişim reddedilir.
- İzin vermeden önce reddet: Her iki kural türü de varsa reddetme kuralları önceliklidir.
- Varsayılan ilke: Her hesabın, açık bir ilke ataması olmadan tüm uygun çalışma alanlarına uygulanan bir varsayılan giriş ilkesi vardır.
Zorlama modları
Bağlam tabanlı giriş ilkeleri iki modu destekler:
- Tüm ürünler için zorunlu kılındı: Kurallar etkin bir şekilde uygulanır ve ihlal istekleri engellenir.
- Tüm ürünler için kuru çalıştırma modu: İhlaller günlüğe kaydedilir ancak istekler engellenmez ve ilke etkisini güvenli bir şekilde değerlendirmenizi sağlar.
Auditing
Reddedilen veya deneme çalıştırma istekleri system.access.inbound_network sistem tablosunda günlüğe kaydedilir. Her günlük girdisi şunları içerir:
- Olay zamanı
- Çalışma Alanı Kimliği
- İstek türü
- Kimlik
- Ağ kaynağı
- Erişim türü (REDDEDİLEN veya DRY_RUN_DENIAL)
Kurallarınızın doğru uygulandığını doğrulamak ve beklenmeyen erişim girişimlerini algılamak için bu günlükleri sorgulayabilirsiniz.
Diğer denetimlerle ilişki
- Çalışma alanı IP erişim listeleri: Bağlam tabanlı giriş ilkesi bir isteğe izin vermeden önce değerlendirilir. her ikisi de isteğe izin vermelidir. Çalışma alanı IP erişim listeleri erişimi daha da daraltabilir ancak genişletemez.
- Sunucusuz çıkış denetimi: Sunucusuz işlemden giden ağ trafiğini denetleyerek giriş ilkelerini tamamlar. Bkz. Ağ ilkelerini yönetme.
- Ön uç özel bağlantı: Genel Ağ Erişimine İzin VerildiEtkinleştirildiğinde, giriş politikalarıyla birlikte uygulanır. Genel Ağ Erişimine İzin VerDevre Dışıysa, tüm genel giriş engellenir ve giriş ilkeleri değerlendirilmez. Bkz. Ön Uç Özel Bağlantısını Yapılandırma.
En iyi yöntemler
- Erişimi bozmadan etkileri gözlemlemek için kuru çalıştırma moduyla başlayın.
- IP'leri döndüren SaaS istemcileri için mümkün olduğunda kimlik tabanlı kuralları kullanın.
- Patlama yarıçapını sınırlamak için öncelikle ayrıcalıklı hizmet sorumlularına reddetme kuralları uygulayın.
- Uzun süreli bakım için ilkelerin adlarını net ve tutarlı tutun.
Uyarı
Bağlam tabanlı giriş denetimi Azure Batı Hindistan bölgesinde kullanılamaz.