Gerenciar listas de acesso IP

Esta página apresenta listas de acesso IP para a conta e espaços de trabalho do Azure Databricks.

Visão geral das listas de acesso IP

Nota

Este recurso requer o plano Premium.

As listas de acesso IP melhoram a segurança fornecendo controle sobre quais redes podem se conectar à sua conta e espaços de trabalho do Azure Databricks. O padrão permite conexões de qualquer endereço IP.

  • Restrinja o acesso com base no endereço IP de origem do usuário.
  • Permita conexões somente de redes aprovadas, como escritórios corporativos ou VPNs.
  • Bloqueie tentativas de acesso de redes públicas ou inseguras, como cafés.

Há dois recursos de lista de acesso IP:

  • Listas de acesso IP para a consola da conta (Pré-visualização Pública): Os administradores de contas podem configurar listas de acesso IP para a consola da conta, permitindo que os utilizadores se liguem à interface da consola da conta e APIs REST ao nível da conta apenas através de um conjunto de endereços IP aprovados. Os proprietários e administradores de contas podem usar uma interface do usuário do console de conta ou uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para o console da conta.
  • Listas de acesso IP para espaços de trabalho: Os administradores de espaços de trabalho podem configurar listas de acesso IP para os espaços de trabalho do Azure Databricks, permitindo que os utilizadores se liguem ao espaço de trabalho ou APIs ao nível do espaço de trabalho apenas através de um conjunto de endereços IP aprovados. Os administradores do espaço de trabalho usam uma API REST para configurar endereços IP e sub-redes permitidos e bloqueados. Consulte Configurar listas de acesso IP para espaços de trabalho.

Nota

Se utilizar o Private Link, as listas de acesso IP aplicam-se apenas a pedidos através da Internet (endereços IP públicos). Os endereços IP privados do tráfego de Link Privado não podem ser bloqueados por listas de acesso IP. Para controlar quem pode acessar o Azure Databricks usando o link privado, você pode verificar quais pontos de extremidade privados foram criados Consulte Conceitos de Link Privado do Azure.

Controles de entrada baseados no contexto

Importante

Este recurso está no Public Preview.

Enquanto as listas de acesso IP filtram os pedidos apenas com base nos endereços IP de origem, os controlos de entrada baseados no contexto permitem que os administradores de contas combinem múltiplas condições (como identidade do utilizador, tipo de pedido e fonte de rede) em regras de permitir e recusar. Essas políticas fornecem um controle mais granular sobre quem pode acessar seu espaço de trabalho e de onde.

O controle de entrada baseado no contexto é configurado no nível da conta. Uma única política pode governar vários espaços de trabalho, garantindo uma aplicação consistente em toda a sua organização.

Ambos os controlos se aplicam em conjunto. Uma solicitação deve ser autorizada pela política de entrada baseada em contexto ao nível da conta e por quaisquer listas de acesso IP do espaço de trabalho. A entrada baseada no contexto pode restringir o acesso com base na identidade ou no escopo da solicitação, e as listas de acesso IP podem restringir o acesso com base no local da rede. Se qualquer controle bloquear a solicitação, o acesso será negado.

Consulte Controle de entrada baseado no contexto.

Como é verificado o acesso?

O recurso de listas de acesso IP permite configurar listas de permissões e listas de bloqueio para o console de conta e espaços de trabalho do Azure Databricks:

  • As listas de permissão contêm o conjunto de endereços IP na internet pública que têm acesso permitido. Permitir vários endereços IP explicitamente ou como sub-redes inteiras (por exemplo 216.58.195.78/28).
  • As listas de bloqueio contêm os endereços IP ou subredes a bloquear, mesmo que estejam incluídos na lista de autorização. Você pode usar esse recurso se um intervalo de endereços IP permitido incluir um intervalo menor de endereços IP de infraestrutura que, na prática, estão fora do perímetro de rede seguro real.

Quando uma conexão é tentada:

  1. Primeiro, todas as listas de bloqueio são verificadas. Se o endereço IP da conexão corresponder a qualquer lista de bloqueios, a conexão será rejeitada.
  2. Se a ligação não foi rejeitada pelas listas de bloqueio, o endereço IP é comparado com as listas de autorização. Se houver pelo menos uma lista de permissões, a conexão só será permitida se o endereço IP corresponder a uma lista de permissões. Se não houver listas de permissões, todos os endereços IP serão permitidos.

Se o recurso estiver desativado, todo o acesso será permitido à sua conta ou espaço de trabalho.

diagrama de fluxo da lista de acesso IP

Para todas as listas de permissões e listas de bloqueios combinadas, o console da conta suporta um máximo de 1000 valores de IP/CIDR, onde um CIDR conta como um único valor.

As alterações nas listas de acesso IP podem levar alguns minutos para entrar em vigor.

Próximos passos

  • Configurar listas de acesso IP para a consola da conta: Definir restrições de IP para o acesso à consola da conta para controlar quais redes podem aceder às definições e APIs ao nível da conta. Consulte Configurar listas de acesso IP para o console da conta.
  • Configure listas de acesso IP para espaços de trabalho: Implemente restrições IP para o acesso ao espaço de trabalho para controlar quais redes podem ligar-se aos seus espaços de trabalho Azure Databricks. Consulte Configurar listas de acesso IP para espaços de trabalho.
  • Configure a conectividade privada: Use o Private Link para estabelecer acesso seguro e isolado aos serviços do Azure a partir da sua rede virtual, contornando a internet pública. Consulte Conceitos de Link Privado do Azure.