IP アクセス リストの管理
このガイドでは、Databricks アカウントとワークスペースの IP アクセス リストについて説明します。
IP アクセス リストの概要
注:
この機能を利用するには、 プレミアムプランが必要です。
既定では、ユーザーは任意のコンピューターまたは IP アドレスから Databricks に接続できます。 IP アクセス リストを使用すると、ユーザーの IP アドレスに基づいて Databricks アカウントとワークスペースへのアクセスを制限できます。 たとえば、IP アクセス リストを構成して、ユーザーがセキュリティで保護された境界を持つ既存の企業ネットワーク経由でのみ接続できるようにすることができます。 内部 VPN ネットワークが承認されている場合、リモートまたは移動中のユーザーは、VPN を使用して企業ネットワークに接続できます。 ユーザーがコーヒー ショップなど、セキュリティで保護されていないネットワークから Databricks に接続しようとすると、アクセスがブロックされます。
IP アクセス リストには、次の 2 つの機能があります。
アカウントコンソールのIPアクセスリスト: アカウント管理者は、アカウントコンソールのIPアクセスリストを設定して、ユーザーが承認されたIPアドレスのセットを介してのみアカウントコンソールUIとアカウントレベルのREST APIs に接続できるようにすることができます。 アカウント管理者は、アカウント コンソール UI または REST API を使用して、許可およびブロックされる IP アドレスとサブネットを構成できます。 「アカウントコンソールの IP アクセスリストの設定」を参照してください。
ワークスペースの IP アクセス リスト: ワークスペース管理者は、Databricks ワークスペースの IP アクセス リストを構成して、承認された一連の IP アドレスを介してのみユーザーがワークスペースまたはワークスペース レベルの APIs に接続できるようにすることができます。 ワークスペース管理者は、REST API を使用して、許可およびブロックされる IP アドレスとサブネットを構成します。 「ワークスペースの IP アクセス リストの構成」を参照してください。
注:
プライベート サービス接続を使用する場合、IP アクセス リストはインターネット経由の要求 (パブリック IP アドレス) にのみ適用されます。 プライベートサービス接続トラフィックからのプライベートIPアドレスは、IPアクセスリストによってブロックできません。 「ワークスペースのプライベートサービス接続を有効にする」を参照してください。
アクセスはどのようにチェックされますか?
IP アクセス リスト機能を使用すると、Databricks アカウント コンソールとワークスペースの許可リストとブロック リストを構成できます。
許可リスト には、アクセスが許可されているパブリックインターネット上のIPアドレスのセットが含まれています。 複数の IP アドレスを明示的に許可するか、サブネット全体として許可します(例:
216.58.195.78/28
)。ブロック リストには、許可リストに含まれている場合でも、ブロックする IP アドレスまたはサブネットが含まれます。 この機能は、許可された IP アドレス範囲に含まれるインフラストラクチャ IP アドレスの範囲が狭く、実際にはセキュリティで保護されたネットワーク境界の外側にある場合に使用できます。
接続が試行されると、次のようになります。
まず、すべてのブロックリストがチェックされます。 接続 IP アドレスがいずれかのブロック リストと一致する場合、接続は拒否されます。
接続がブロックリストによって拒否されなかった場合、IP アドレスは許可リストと比較されます。 許可リストが少なくとも 1 つある場合は、IP アドレスが許可リストと一致する場合にのみ接続が許可されます。 許可リストがない場合は、すべての IP アドレスが許可されます。
この機能が無効になっている場合、アカウントまたはワークスペースへのすべてのアクセスが許可されます。
すべての許可リストとブロックリストの組み合わせについて、アカウントコンソールは最大1000個のIP/CIDR値をサポートし、1つのCIDRが1つの値としてカウントされます。
IP アクセス リストの変更は、有効になるまでに数分かかる場合があります。