管理IP存取清單

本指南介紹 Azure Databricks 帳戶和工作區的IP存取清單。

IP 存取清單概觀

注意

此功能需要 進階方案。

根據預設，用戶可以從任何計算機或IP位址連線到 Azure Databricks。 IP 存取清單可讓您根據使用者的IP位址限制對 Azure Databricks 帳戶和工作區的存取。 例如，您可以設定IP存取清單，讓使用者只能透過具有安全周邊的現有公司網路進行連線。 如果內部 VPN 網路已獲得授權，遠端或行動的使用者可以使用 VPN 連線到公司網路。 如果用戶嘗試從不安全的網路連線到 Azure Databricks，例如從咖啡店連線，就會封鎖存取。

有兩個IP存取清單功能：

• 帳戶主控台的IP存取清單（公開預覽）：帳戶管理員可以設定帳戶主控台的IP存取清單，讓使用者只能透過一組核准的IP位址連線到帳戶控制台 UI 和帳戶層級 REST API。 帳戶擁有者和帳戶管理員可以使用帳戶主控台 UI 或 REST API 來設定允許和封鎖的 IP 位址和子網。 請參閱 設定帳戶主控台的IP存取清單。

• 工作區的IP存取清單：工作區系統管理員可以設定 Azure Databricks 工作區的IP存取清單，讓使用者只能透過一組核准的IP位址連線到工作區或工作區層級 API。 工作區系統管理員會使用 REST API 來設定允許和封鎖的 IP 位址和子網。 請參閱 設定工作區的IP存取清單。

注意

如果您使用 Private Link，IP 存取清單只適用於透過因特網的要求（公用 IP 位址）。 私人連結流量的私人IP位址無法由IP存取清單封鎖。 若要控制誰可以使用私人連結存取 Azure Databricks，您可以檢查是否已建立哪些私人端點，請參閱 啟用 Azure Private Link 後端和前端連線。

如何檢查存取權？

IP 存取清單功能可讓您設定 Azure Databricks 帳戶主控台和工作區的允許清單和封鎖清單：

• 允許清單 包含允許存取之公用因特網上的一組IP位址。 明確允許多個IP位址或作為整個子網（例如 216.58.195.78/28）。
• 封鎖清單 包含要封鎖的IP位址或子網，即使它們包含在允許清單中也一樣。 如果允許的IP位址範圍包含較小的基礎結構IP位址範圍，實際上會超出實際的安全網路周邊，您可以使用這項功能。

嘗試連線時：

1. 首先會檢查所有區塊清單。 如果連線 IP 位址符合任何封鎖清單，則會拒絕連線。
2. 如果封鎖清單未拒絕連線，IP 位址會與允許清單進行比較。 如果至少有一個允許清單，則只有在IP位址符合允許清單時，才允許連線。 如果沒有允許清單，則會允許所有IP位址。

如果停用此功能，則所有存取都允許存取您的帳戶或工作區。

針對合併的所有允許清單和封鎖清單，帳戶控制台最多支援 1000 個 IP/CIDR 值，其中一個 CIDR 會計算為單一值。

IP 存取清單的變更可能需要幾分鐘的時間才會生效。