Gerenciar listas de acesso IP
Este guia apresenta listas de acesso IP para a conta e espaços de trabalho do Azure Databricks.
Visão geral das listas de acesso IP
Nota
Este recurso requer o plano Premium.
Por padrão, os usuários podem se conectar ao Azure Databricks de qualquer computador ou endereço IP. As listas de acesso IP permitem que você restrinja o acesso à sua conta do Azure Databricks e espaços de trabalho com base no endereço IP de um usuário. Por exemplo, você pode configurar listas de acesso IP para permitir que os usuários se conectem somente por meio de redes corporativas existentes com um perímetro seguro. Se a rede VPN interna for autorizada, os usuários remotos ou em viagem poderão usar a VPN para se conectar à rede corporativa. Se um usuário tentar se conectar ao Azure Databricks a partir de uma rede insegura, como de uma cafeteria, o acesso será bloqueado.
Há dois recursos de acesso IP list:
Listas de acesso IP para o console da conta (Public Preview): Os administradores da conta podem configurar listas de acesso IP para permitir que os utilizadores se conectem à interface do utilizador do console da conta e às APIs REST a nível de conta, apenas através de uma set de endereços IP aprovados. Os proprietários e administradores de contas podem usar uma interface do usuário do console de conta ou uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para o console da conta.
listas de acesso IP para espaços de trabalho: os administradores de espaços de trabalho podem configurar listas de acesso IP para espaços de trabalho do Azure Databricks para permitir que os usuários se conectem ao espaço de trabalho ou APIs no nível do espaço de trabalho somente por meio de uma set de endereços IP aprovados. Os administradores do espaço de trabalho usam uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para espaços de trabalho.
Nota
Se utilizar o Private Link, as listas de acesso IP aplicam-se apenas a pedidos através da Internet (endereços IP públicos). Os endereços IP privados do tráfego de Link Privado não podem ser bloqueados por listas de acesso IP. Para controlar quem pode aceder ao Azure Databricks usando ligação privada, pode verificar quais os pontos de extremidade privados foram criados. Consulte Ativar o back-end e front-end do Azure Private Link connections.
Como é verificado o acesso?
O recurso de listas de acesso IP permite configurar listas de permissões e listas de bloqueio para o console de conta e espaços de trabalho do Azure Databricks:
-
As listas de permissões contêm a set de endereços IP cujo acesso à Internet pública é permitido. Permitir vários endereços IP explicitamente ou como sub-redes inteiras (por exemplo
216.58.195.78/28). - As listas de bloqueios contêm os endereços IP ou sub-redes a bloquear, mesmo que estejam incluídos na listde permissão. Você pode usar esse recurso se um intervalo de endereços IP permitido incluir um intervalo menor de endereços IP de infraestrutura que, na prática, estão fora do perímetro de rede seguro real.
Quando uma conexão é tentada:
- Primeiro, todas as listas de bloqueio são verificadas. Se o endereço IP da conexão corresponder a qualquer bloco list, a conexão será rejeitada.
- Se a conexão não foi rejeitada pelas listas de bloqueio, o endereço IP é comparado com as listas de permissões. Se houver pelo menos uma permissão list, a conexão só será permitida se o endereço IP corresponder a uma permissão list. Se não houver listas de permissões, todos os endereços IP serão permitidos.
Se o recurso estiver desativado, todo o acesso será permitido à sua conta ou espaço de trabalho.
Para todas as listas de permissões e listas de bloqueios combinadas, o console da conta suporta um máximo de 1000 valuesIP/CIDR , where um CIDR conta como um único valor.
As alterações nas listas de acesso IP podem levar alguns minutos para entrar em vigor.