ワークスペースの IP アクセス リストを構成する
この記事では、Databricks ワークスペースの IP アクセス リストを構成する方法について説明します。 この記事では、 Databricks CLI で実行できる最も一般的なタスクについて説明します。 また、IP アクセス リスト API を使用することもできます。
要件
この機能を利用するには、 プレミアムプランが必要です。
IP アクセス リストは、インターネット プロトコル バージョン 4(IPv4)アドレスのみをサポートします。
コントロールプレーンにアクセスするためにコンピュートプレーンで使用するすべてのパブリック IP を許可リストに追加するか、バックエンドのプライベートサービス接続を構成する必要があります。 そうしないと、クラシック コンピュート リソースを起動できません。
たとえば、顧客管理 VPC を構成する場合、サブネットは Google クラウド NAT を使用してパブリック ネットワークへのアウトバウンド アクセスできるか、同様のアプローチを使用する必要があります。 これらのパブリック IP は、許可リストに存在する必要があります。 「 エグレスの要件」を参照してください。 あるいは、Databricks が管理する VPC を使用し、マネージド NAT ゲートウェイをパブリック IP にアクセスするように構成する場合は、それらの IP が許可リストに含まれている必要があります。 詳細については、 Databricksコミュニティの投稿を参照してください。
ワークスペースで IP アクセス リスト機能が有効になっているかどうかを確認する
ワークスペースで IP アクセス リスト機能が有効になっているかどうかを確認するには、次の手順を実行します。
databricks workspace-conf get-status enableIpAccessLists
ワークスペースの IP アクセス リスト機能を有効または無効にする
JSON 要求本文で、 enableIpAccessLists
を true
(有効) または false
(無効) として指定します。
databricks workspace-conf set-status --json '{
"enableIpAccessLists": "true"
}'
IP アクセス リストを追加する
IP アクセス リスト機能が有効になっていて、ワークスペースに許可リストまたはブロック リストがない場合、すべての IP アドレスが許可されます。 IP アドレスを許可リストに追加すると、リストにないすべての IP アドレスがブロックされます。 コンピュートプレーンがコントロールプレーンにアクセスするために使用するすべてのパブリック IP を必ず許可リストに追加してください。 意図しないアクセス制限を避けるために、変更を慎重に確認してください。
IP アクセス リストには、リストの名前であるラベルとリスト タイプがあります。 リストの種類は、 ALLOW
(許可リスト) または BLOCK
(ブロック リスト、つまり、許可リストに含まれている場合でも除外する) のいずれかです。
たとえば、許可リストを追加するには、次のようにします。
databricks ip-access-lists create --json '{
"label": "office",
"list_type": "ALLOW",
"ip_addresses": [
"1.1.1.1"
]
}'
IP アクセス リストの更新
次の値の少なくとも 1 つを指定して更新します。
label
— このリストのラベル。list_type
—ALLOW
(許可リスト)またはBLOCK
(ブロックリスト、許可リストに含まれていても除外することを意味します)。ip_addresses
— IPアドレスとCIDR範囲のJSON配列(文字列値)。enabled
— このリストを有効にするかどうかを指定します。true
またはfalse
を渡します。
応答は、ID と変更日の追加項目とともに渡したオブジェクトのコピーです。
たとえば、リストを無効にするには、次のようにします。
databricks ip-access-lists update <list-id> --json '{
"enabled": false
}'