Dela via

Hantera IP-åtkomstlistor

  • Artikel

Den här guiden introducerar IP-åtkomstlistor för Azure Databricks-kontot och arbetsytor.

Översikt över IP-åtkomstlistor

Kommentar

Den här funktionen kräver Premium-planen.

Som standard kan användare ansluta till Azure Databricks från valfri dator eller IP-adress. Med IP-åtkomstlistor kan du begränsa åtkomsten till ditt Azure Databricks-konto och dina arbetsytor baserat på en användares IP-adress. Du kan till exempel konfigurera IP-åtkomstlistor så att användare endast kan ansluta via befintliga företagsnätverk med en säker perimeter. Om det interna VPN-nätverket är auktoriserat kan användare som är fjärranslutna eller reser använda VPN för att ansluta till företagsnätverket. Om en användare försöker ansluta till Azure Databricks från ett osäkert nätverk, till exempel från ett kafé, blockeras åtkomsten.

Det finns två FUNKTIONER för IP-åtkomst list:

  • IP-åtkomstlistor för kontokonsolen (offentlig förhandsversion): Kontoadministratörer kan konfigurera IP-åtkomstlistor för kontokonsolen så att användare endast kan ansluta till kontokonsolens användargränssnitt och REST-API:er på kontonivå via en set godkända IP-adresser. Kontoägare och kontoadministratörer kan använda ett användargränssnitt för kontokonsolen eller ett REST-API för att konfigurera tillåtna och blockerade IP-adresser och undernät. Se Konfigurera IP-åtkomstlistor för kontokonsolen.

  • IP-åtkomstlistor för arbetsytor: Arbetsyteadministratörer kan konfigurera IP-åtkomstlistor för Azure Databricks-arbetsytor så att användare endast kan ansluta till API:er på arbetsyta eller arbetsytenivå via en set godkända IP-adresser. Arbetsyteadministratörer använder ett REST-API för att konfigurera tillåtna och blockerade IP-adresser och undernät. Se Konfigurera IP-åtkomstlistor för arbetsytor.

Kommentar

Om du använder Private Link gäller IP-åtkomstlistor endast för begäranden via Internet (offentliga IP-adresser). Privata IP-adresser från Private Link-trafik kan inte blockeras av IP-åtkomstlistor. Om du vill styra vem som har åtkomst till Azure Databricks med hjälp av en privat länk kan du kontrollera vilka privata slutpunkter som har skapats Se Aktivera Azure Private Link-serverdel och klientdels-connections.

Hur kontrolleras åtkomsten?

Med funktionen IP-åtkomstlistor kan du konfigurera tillåtna listor och blockeringslistor för Azure Databricks-kontokonsolen och arbetsytor:

  • Tillåt listor innehålla set av IP-adresser på det offentliga Internet som tillåts åtkomst. Tillåt flera IP-adresser explicit eller som hela undernät (till exempel 216.58.195.78/28).
  • blockeringslistor innehåller IP-adresser eller undernät som ska blockeras, även om de ingår i tillåtna listor list. Du kan använda den här funktionen om ett tillåtet IP-adressintervall innehåller ett mindre intervall av infrastruktur-IP-adresser som i praktiken ligger utanför den faktiska säkra nätverksperimetern.

När en anslutning görs:

  1. Först kontrolleras alla blocklistor. Om anslutningens IP-adress matchar något block listavvisas anslutningen.
  2. Om anslutningen inte avvisades av blockeringslistor jämförs IP-adressen med listan över tillåtna. Om det finns minst en tillåten listtillåts anslutningen endast om IP-adressen matchar en tillåten list. Om det inte finns några tillåtna listor tillåts alla IP-adresser.

Om funktionen är inaktiverad tillåts all åtkomst till ditt konto eller din arbetsyta.

flödesdiagram för IP-åtkomst list

För alla tillåtlistor och blocklistor tillsammans stöder kontokonsolen högst 1 000 IP/CIDR – en CIDR räknas som ett enda värde. values, where

Det kan ta några minuter innan ändringar i IP-åtkomstlistor börjar gälla.