IP アクセス リストの管理

このガイドでは、Databricks アカウントとワークスペースの IP アクセス リストについて説明します。

IP アクセス リストの概要

注：

この機能を利用するには、 プレミアムプランが必要です。

既定では、ユーザーは任意のコンピューターまたは IP アドレスから Databricks に接続できます。 IP アクセス リストを使用すると、ユーザーの IP アドレスに基づいて Databricks アカウントとワークスペースへのアクセスを制限できます。 たとえば、IP アクセス リストを構成して、ユーザーがセキュリティで保護された境界を持つ既存の企業ネットワーク経由でのみ接続できるようにすることができます。 内部 VPN ネットワークが承認されている場合、リモートまたは移動中のユーザーは、VPN を使用して企業ネットワークに接続できます。 ユーザーがコーヒー ショップなど、セキュリティで保護されていないネットワークから Databricks に接続しようとすると、アクセスがブロックされます。

IP アクセス リストには、次の 2 つの機能があります。

• アカウントコンソールのIPアクセスリスト: アカウント管理者は、アカウントコンソールのIPアクセスリストを設定して、ユーザーが承認されたIPアドレスのセットを介してのみアカウントコンソールUIとアカウントレベルのREST APIs に接続できるようにすることができます。 アカウント管理者は、アカウント コンソール UI または REST API を使用して、許可およびブロックされる IP アドレスとサブネットを構成できます。 「アカウントコンソールの IP アクセスリストの設定」を参照してください。

• ワークスペースの IP アクセス リスト: ワークスペース管理者は、Databricks ワークスペースの IP アクセス リストを構成して、承認された一連の IP アドレスを介してのみユーザーがワークスペースまたはワークスペース レベルの APIs に接続できるようにすることができます。 ワークスペース管理者は、REST API を使用して、許可およびブロックされる IP アドレスとサブネットを構成します。 「ワークスペースの IP アクセス リストの構成」を参照してください。

注：

プライベート サービス接続を使用する場合、IP アクセス リストはインターネット経由の要求 (パブリック IP アドレス) にのみ適用されます。 プライベートサービス接続トラフィックからのプライベートIPアドレスは、IPアクセスリストによってブロックできません。 「ワークスペースのプライベートサービス接続を有効にする」を参照してください。

アクセスはどのようにチェックされますか?

IP アクセス リスト機能を使用すると、Databricks アカウント コンソールとワークスペースの許可リストとブロック リストを構成できます。

• 許可リスト には、アクセスが許可されているパブリックインターネット上のIPアドレスのセットが含まれています。 複数の IP アドレスを明示的に許可するか、サブネット全体として許可します(例: 216.58.195.78/28)。

• ブロック リストには、許可リストに含まれている場合でも、ブロックする IP アドレスまたはサブネットが含まれます。 この機能は、許可された IP アドレス範囲に含まれるインフラストラクチャ IP アドレスの範囲が狭く、実際にはセキュリティで保護されたネットワーク境界の外側にある場合に使用できます。

接続が試行されると、次のようになります。

1. まず、すべてのブロックリストがチェックされます。 接続 IP アドレスがいずれかのブロック リストと一致する場合、接続は拒否されます。

2. 接続がブロックリストによって拒否されなかった場合、IP アドレスは許可リストと比較されます。 許可リストが少なくとも 1 つある場合は、IP アドレスが許可リストと一致する場合にのみ接続が許可されます。 許可リストがない場合は、すべての IP アドレスが許可されます。

この機能が無効になっている場合、アカウントまたはワークスペースへのすべてのアクセスが許可されます。

すべての許可リストとブロックリストの組み合わせについて、アカウントコンソールは最大1000個のIP/CIDR値をサポートし、1つのCIDRが1つの値としてカウントされます。

IP アクセス リストの変更は、有効になるまでに数分かかる場合があります。