Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página descreve como configurar listas de acesso IP para espaços de trabalho do Azure Databricks. Este artigo discute as tarefas mais comuns que você pode executar usando a CLI do Databricks.
Você também pode usar a API de listas de acesso IP.
Observação
As listas de acesso IP da área de trabalho e os controles de entrada baseados no contexto ao nível da conta são aplicados em conjunto. Uma solicitação deve ser permitida por ambos os controles para ser bem-sucedida.
Os controles de entrada baseados no contexto fornecem segurança mais refinada, combinando identidade, tipo de solicitação e condições de origem da rede. Ele é configurado no nível da conta e uma única política pode governar vários espaços de trabalho, garantindo uma aplicação consistente em toda a organização. O Databricks recomenda o uso de controles de entrada baseados no contexto como seu método principal para gerenciar o acesso. Consulte Controle de entrada baseado no contexto.
As listas de acesso IP do espaço de trabalho ainda podem ser usadas para adicionar uma camada adicional de restrição com base apenas no endereço IP, mas não podem expandir o acesso além do que a entrada baseada no contexto permite.
Requisitos
- Este recurso requer o plano Premium.
- As listas de acesso IP suportam apenas endereços IPv4 (Internet Protocol version 4).
Se for ativada a conectividade de cluster seguro num espaço de trabalho, todos os IPs públicos que o plano de computação utiliza para aceder ao plano de controle devem ser adicionados a uma lista de acesso permitido ou é necessário configurar de Link Privado back-end. Caso contrário, os recursos de computação clássicos não poderão ser iniciados.
Por exemplo, se você habilitar a conectividade de cluster seguro em um espaço de trabalho que usa injeção de rede virtual, o Databricks recomenda que seu espaço de trabalho tenha um IP público de saída estável. Esse IP público e quaisquer outros devem estar presentes numa lista de permissões. Consulte Implantar o Azure Databricks em sua rede virtual do Azure (injeção de VNet). Como alternativa, se você usar uma VNet gerenciada pelo Azure Databricks e configurar o gateway NAT gerenciado para acessar IPs públicos, esses IPs deverão estar presentes em uma lista de permissões. Para obter mais informações, consulte a postagem da Comunidade Databricks.
Verifique se o seu espaço de trabalho tem o recurso de lista de acesso IP habilitado
Para verificar se o seu espaço de trabalho tem o recurso de lista de acesso IP habilitado:
databricks workspace-conf get-status enableIpAccessLists
Habilitar ou desabilitar o recurso de lista de acesso IP para um espaço de trabalho
Em um corpo de solicitação JSON, especifique enableIpAccessLists como true (habilitado) ou false (desabilitado).
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
Adicionar uma lista de acesso IP
Quando o recurso de listas de acesso IP está habilitado e não há listas de permissões ou listas de bloqueio para o espaço de trabalho, todos os endereços IP são permitidos. Adicionar endereços IP à lista de permissões bloqueia todos os endereços IP que não estão na lista. Analise as alterações cuidadosamente para evitar restrições de acesso não intencionais.
Todos os IPs públicos que o plano de computação usa para acessar o plano de controle devem ser adicionados a uma lista de permissões.
As listas de acesso IP têm um rótulo, que é um nome para a lista, e um tipo de lista. O tipo de lista é ALLOW (lista de permissões) ou BLOCK (uma lista de bloqueios, o que significa excluir, mesmo que esteja na lista de permissões).
Por exemplo, para adicionar uma lista de permissões:
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.0/24",
"2.2.2.2/32"
]
}'
Listar listas de acesso IP
databricks ip-access-lists list
Atualizar uma lista de acesso IP
Especifique pelo menos um dos seguintes valores a serem atualizados:
-
label— Rótulo para esta lista. -
list_type—ALLOW(lista de permissões) ouBLOCK(lista de bloqueios, o que significa excluir, mesmo que na lista de permissões). -
ip_addresses— Uma matriz JSON de endereços IP e intervalos CIDR, como valores String. -
enabled— Especifica se essa lista está habilitada. Passetrueoufalse.
A resposta é uma cópia do objeto que você passou com campos adicionais para a ID e datas de modificação.
Por exemplo, para desativar uma lista:
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'
Excluir uma lista de acesso IP
Para excluir um acesso IP:
databricks ip-access-lists delete <list-id>
Próximos passos
- Configurar listas de acesso IP para o console da conta: configure restrições de IP para acesso ao console da conta para controlar quais redes podem acessar configurações e APIs no nível da conta. Consulte Configurar listas de acesso IP para o console da conta.
- Configurar conectividade privada: use o Link Privado para estabelecer acesso seguro e isolado aos serviços do Azure a partir de sua rede virtual, ignorando a Internet pública. Consulte Conceitos de Link Privado do Azure.
- Configurar injeção de VNet: Configurar a injeção de VNet com IP público de egressão estável para aumentar a segurança da rede. Consulte Implantar o Azure Databricks em sua rede virtual do Azure (injeção de VNet).