Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta página se describe cómo configurar listas de acceso IP para áreas de trabajo de Azure Databricks. En este artículo se describen las tareas más comunes que puede realizar mediante la CLI de Databricks.
También se puede usar la API de listas de acceso de IP.
Nota:
Las listas de acceso IP del área de trabajo y los controles de entrada basados en contexto de nivel de cuenta se aplican conjuntamente. Ambos controles deben permitir una solicitud para que tenga éxito.
Los controles de entrada basados en contexto proporcionan seguridad más detallada mediante la combinación de condiciones de identidad, tipo de solicitud y origen de red. Se configura en el nivel de cuenta y una sola directiva puede controlar varias áreas de trabajo, lo que garantiza una aplicación coherente en toda la organización. Databricks recomienda usar controles de entrada basados en contexto como método principal para administrar el acceso. Consulte Control de entrada basado en contexto.
Las listas de acceso IP del área de trabajo todavía se pueden usar para agregar una capa adicional de restricción basada solo en la dirección IP, pero no pueden expandir el acceso más allá de lo que permite la entrada basada en contexto.
Requisitos
- Esta característica requiere el plan Premium.
- Las listas de acceso IP solo admiten direcciones IPv4 (Protocolo de Internet versión 4).
Si habilita conectividad segura de clústeres en un área de trabajo, las direcciones IP públicas que usa el plano de proceso para acceder al plano de control deben agregarse a una lista de permitidos o debe configurar Private Link de back-end. De lo contrario, los recursos de proceso clásicos no se pueden iniciar.
Por ejemplo, si habilita la conectividad segura del clúster en un área de trabajo que usa la inserción de red virtual, Databricks recomienda que el área de trabajo tenga una dirección IP pública de salida estable. Esa dirección IP pública y cualquier otra debe estar presente en una lista de permitidos. Consulte Implementación de Azure Databricks en una red virtual de Azure (inserción en red virtual). Como alternativa, si usa una red virtual administrada por Azure Databricks y configura la puerta de enlace NAT administrada para acceder a direcciones IP públicas, esas direcciones IP deben estar presentes en una lista de permitidos. Para obtener más información, consulte laPublicación Comunidad de Databricks.
Comprobar si el área de trabajo tiene habilitada la característica de lista de acceso de IP
Para comprobar si el área de trabajo tiene habilitada la característica de lista de acceso de IP:
databricks workspace-conf get-status enableIpAccessLists
Habilitar o deshabilitar la característica de lista de acceso de IP para una área de trabajo
En un cuerpo de solicitud JSON, especifique enableIpAccessLists como true (habilitada) o false (deshabilitada).
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
Agregar una lista de acceso de IP
Cuando la característica listas de acceso IP está habilitada y no hay listas de permitidos ni listas de bloqueos para el área de trabajo, se permiten todas las direcciones IP. Al agregar direcciones IP a la lista de permitidos, se bloquean todas las direcciones IP que no están en la lista. Revise cuidadosamente los cambios para evitar restricciones de acceso no deseadas.
Las direcciones IP públicas que usa el plano de proceso para acceder al plano de control se deben agregar a una lista de permitidos.
Las listas de acceso IP tienen una etiqueta, que es un nombre para la lista y un tipo de lista. El tipo de lista es ALLOW (lista de permitidos) o BLOCK (una lista de bloques, lo que significa excluir incluso si está en la lista de permitidos).
Por ejemplo, para agregar una lista de permitidos:
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
Enumere las listas de acceso de IP
databricks ip-access-lists list
Actualizar una lista de acceso IP
Especifique al menos uno de los siguientes valores para actualizar:
-
label: etiqueta de esta lista. -
list_type:ALLOW(lista de permitidos) oBLOCK(lista de bloqueados, lo que implica la exclusión incluso cuando se encuentre en la lista de permitidos). -
ip_addresses: matriz de JSON de direcciones IP e intervalos CIDR como valores de cadena. -
enabled: especifica si esta lista está habilitada. Pasetrueofalse.
La respuesta es una copia del objeto que pasó con campos adicionales para el identificador y las fechas de modificación.
Por ejemplo, para deshabilitar una lista:
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
Eliminar una lista de acceso de IP
Para eliminar un acceso de IP:
databricks ip-access-lists delete <list-id>
Pasos siguientes
- Configurar listas de acceso IP para la consola de la cuenta: configure restricciones de IP para el acceso a la consola de cuenta para controlar qué redes pueden acceder a la configuración de nivel de cuenta y a las API. Consulte Listas de acceso de IP para la consola de la cuenta.
- Configuración de la conectividad privada: use Private Link para establecer el acceso seguro y aislado a los servicios de Azure desde la red virtual, pasando la red pública de Internet. Consulte Conceptos de Azure Private Link.
- Configurar la inyección de VNet: configure la inyección de VNet con una IP pública de salida estable para mejorar la seguridad de la red. Consulte Implementación de Azure Databricks en una red virtual de Azure (inserción en red virtual).