共用方式為


管理IP存取清單

本指南介紹 Azure Databricks 帳戶和工作區的IP存取清單。

IP 存取清單概觀

注意

此功能需要進階版方案

根據預設,用戶可以從任何計算機或IP位址連線到 Azure Databricks。 IP 存取清單可讓您根據使用者的IP位址限制對 Azure Databricks 帳戶和工作區的存取。 例如,您可以設定IP存取清單,讓使用者只能透過具有安全周邊的現有公司網路進行連線。 如果內部 VPN 網路已獲得授權,遠端或行動的使用者可以使用 VPN 連線到公司網路。 如果用戶嘗試從不安全的網路連線到 Azure Databricks,例如從咖啡店連線,就會封鎖存取。

有兩項IP存取list功能:

  • 帳戶控制台的IP存取清單(公開預覽:帳戶管理員可以設定帳戶控制台的IP存取清單,讓使用者只能透過已核准IP位址的 set 連線到帳戶控制台UI和帳戶層級 REST API。 帳戶擁有者和帳戶管理員可以使用帳戶主控台 UI 或 REST API 來設定允許和封鎖的 IP 位址和子網。 請參閱 設定帳戶主控台的IP存取清單。

  • 工作區的IP存取清單:工作區系統管理員可以設定 Azure Databricks 工作區的IP存取清單,讓使用者只能透過已核准IP位址的 set 連線到工作區或工作區層級 API。 工作區系統管理員會使用 REST API 來設定允許和封鎖的 IP 位址和子網。 請參閱設定工作區的 IP 存取清單

注意

如果您使用 Private Link,IP 存取清單只適用於透過因特網的要求(公用 IP 位址)。 私人連結流量的私人IP位址無法由IP存取清單封鎖。 若要控制誰可以使用私人連結存取 Azure Databricks,您可以檢查哪些私人端點已建立,請參閱 啟用 Azure Private Link 後端和前端 connections

如何檢查存取權?

IP 存取清單功能可讓您設定 Azure Databricks 帳戶主控台和工作區的允許清單和封鎖清單:

  • 允許清單 包含允許存取公用互聯網的 IP 位址的列表 set。 明確允許多個IP位址或作為整個子網(例如 216.58.195.78/28)。
  • [封鎖] 列表 包含要封鎖的IP位址或子網,即使它們包含在允許 list中也一樣。 如果允許的IP位址範圍包含較小的基礎結構IP位址範圍,實際上會超出實際的安全網路周邊,您可以使用這項功能。

嘗試連線時:

  1. 首先會檢查所有區塊清單。 如果連線 IP 位址符合任何區塊 list,則會拒絕連線。
  2. 如果封鎖清單未拒絕連線,IP 位址會與允許清單進行比較。 如果至少有一個允許 list,則只有在IP位址符合允許 list時,才允許連接。 如果沒有允許清單,則會允許所有IP位址。

如果停用此功能,則所有存取都允許存取您的帳戶或工作區。

IP 存取 list 流程圖

針對合併的所有允許和封鎖清單,帳戶管理控制台最多支援 1000 個 IP/CIDR values,where,其中一個 CIDR 算作單一值。

IP 存取清單的變更可能需要幾分鐘的時間才會生效。