Customer-managed VPC

重要的

此功能要求您的帳戶在Databricks平台E2版本Beplay体育安卓版本.所有新的Databricks帳戶和大多數現有帳戶現在都是E2。如果您不確定您擁有哪種帳戶類型,請與Databricks代表聯係。

重要的

這篇文章提到了這個術語數據平麵,是Databricks平台的計算層。Beplay体育安卓版本在本文上下文中,數據平麵指的是AWS帳戶中的經典數據平麵。相比之下,支持無服務器數據平麵的無服務器SQL倉庫(公開預覽)在Databricks AWS帳戶中運行。要了解更多信息,請參見Serverless計算

概述

默認情況下,集群創建在單個AWS VPC(虛擬私有雲)中,由Databricks在您的AWS帳戶中創建和配置。您可以選擇在自己的VPC中創建Databricks工作空間,該特性稱為customer-managed VPC.您可以使用客戶管理的VPC來對您的網絡配置進行更多的控製,以符合您的組織可能需要的特定的雲安全和治理標準。

重要的

配置要使用的工作區AWS PrivateLink公共預覽)對於任何類型的連接,都要求您的工作空間使用客戶管理的VPC。

客戶管理的VPC是一個很好的解決方案,如果你有:

  • 防止PaaS提供商在您自己的AWS帳戶中創建vpc的安全策略。

  • 創建新VPC的審批流程,由內部信息安全或雲工程團隊以良好的文檔方式配置和保護VPC。

福利包括:

  • 較低的權限級別:您可以更好地控製自己的AWS帳戶。並且您不需要通過跨帳戶IAM角色授予Databricks許多權限,就像您為Databricks管理的VPC所做的那樣。例如,創建vpc不需要權限。這個有限的權限集可以使您更容易獲得在平台堆棧中使用Databricks的批準。Beplay体育安卓版本

  • 簡化網絡操作:網絡空間利用率更高。與默認的CIDR /16相比,可選地為工作空間配置更小的子網。並且不需要其他解決方案可能需要的複雜的VPC對等配置。

  • vpc合並:多個Databricks工作區可以共享一個數據平麵VPC,通常用於計費和實例管理。

  • 限製傳出連接:默認情況下,數據平麵不限製Databricks Runtime worker的外發連接。對於配置為使用客戶管理的VPC的工作區,可以使用出口防火牆或代理設備將出站流量限製為允許的內部或外部數據源列表。

Customer-managed VPC

為了利用客戶管理的VPC,必須在首次創建Databricks工作空間時指定VPC。不能將已使用databicks管理的VPC的工作空間移動到客戶管理的VPC中。但是,您可以通過更新工作空間配置的網絡配置對象,將帶有客戶管理VPC的現有工作空間從一個VPC移動到另一個VPC。看到更新正在運行的工作區

要在自己的VPC中部署工作空間,您必須:

  1. 根據要求創建VPCVPC需求

  2. 在創建工作空間時,使用Databricks引用VPC網絡配置。

    向數據庫注冊VPC時,需要提供VPC ID、子網ID和安全組ID。

VPC需求

您的VPC必須滿足本節所述的要求,才能運行Databricks工作空間。

VPC地區

工作區數據平麵vpc可以位於AWS區域ap-northeast-1ap-northeast-2ap-south-1ap-southeast-1ap-southeast-2ca-central-1一來就eu-west-2eu-central-1us-east-1us-east-2us-west-1,us-west-2.不能使用VPCus-west-1如果你想用的話customer-managed鍵為加密。

VPC分級

您可以在一個AWS帳戶中與多個工作區共享一個VPC。然而,你不能在工作空間之間重用子網或安全組.請確保您的VPC和子網大小相應。Databricks為每個節點分配兩個IP地址,一個用於管理流量,另一個用於Apache Spark應用程序。每個子網的總實例數等於可用IP地址數的一半。詳情請瀏覽子網

VPC的IP地址範圍

Databricks不限製工作空間VPC的網絡掩碼,但每個工作空間子網之間必須有一個網絡掩碼/ 17而且/ 26.這意味著如果您的工作空間有兩個子網,並且它們的子網掩碼都為/ 26,則工作空間VPC的網絡掩碼為/ 25或更小。

重要的

如果您已經為您的VPC配置了從CIDR塊,請確保“數據庫”工作區的子網都配置了相同的VPC CIDR塊。

DNS

VPC中需要開啟DNS主機名和DNS解析功能。

子網

數據專家至少要有訪問權限每個工作區有兩個子網,每個子網在不同的可用分區中。中每個可用分區不能指定多個Databricks工作區子網創建網絡配置API調用.作為網絡設置的一部分,每個可用分區可以有多個子網,但是Databricks工作區隻能為每個可用分區選擇一個子網。

Databricks為每個節點分配兩個IP地址,一個用於管理流量,另一個用於Spark應用程序。每個子網的總實例數等於可用IP地址數的一半。

每個子網之間必須有一個子網掩碼/ 17而且/ 26

重要的

為客戶管理的VPC指定的子網隻能預留給一個Databricks工作空間使用。不能與任何其他資源共享這些子網,包括其他Databricks工作區。

額外子網要求

重要的

使用集群安全連通性的工作空間(2020年9月1日以後的默認),需要VPC能夠對外訪問公網。

子網路由表

工作空間子網的路由表必須為四零(0.0.0.0/0)以適當的網絡設備為目標的流量。如果工作空間使用安全集群連接(這是2020年9月1日之後新工作空間的默認設置),四零流量必須以NAT網關或您自己的托管NAT設備或代理設備為目標。

重要的

Databricks需要添加子網0.0.0.0/0到允許列表。要控製出口流量,請使用出口防火牆或代理設備阻止大部分流量,但允許Databricks需要連接到的url。看到配置防火牆和出站接入(可選)

這隻是一個基本的指導方針。您的配置要求可能不同。如有疑問,請聯係Databricks代表。

安全組

數據庫必須能夠訪問至少一個AWS安全組,且不超過五個安全組。您可以重用現有的安全組,而不是創建新的安全組。

安全組規則如下:

出口(出站):

  • 允許對工作空間安全組的所有TCP和UDP訪問(用於內部流量)

  • 允許TCP訪問0.0.0.0/0對於這些端口:

    • 443:用於Databricks基礎設施、雲數據源和圖書館存儲庫

    • 3306:亞穩態

    • 6666:隻需要你使用PrivateLink

入口(入站):所有工作區都需要(這些可以是單獨的規則,也可以合並為一個):

  • 當流量源使用同一個安全組時,允許所有端口通過TCP協議

  • 當流量源使用同一個安全組時,允許所有端口使用UDP協議

子網級網絡acl

子網級網絡acl不能拒絕任何流量的進入或出口。Databricks在創建工作區時驗證以下規則:

  • 允許所有0.0.0.0/0

  • 出口:

    • 允許所有流量進入工作區VPC CIDR,用於內部流量

    • 允許TCP訪問0.0.0.0/0的端口:

      • 443:用於Databricks基礎設施、雲數據源和圖書館存儲庫

      • 3306:亞穩態

      • 6666:隻需要你使用PrivateLink

重要的

如果你配置了額外的允許否認將Databricks需要的規則設置為最高優先級(規則號最低),使其優先。

請注意

Databricks需要添加子網級網絡acl0.0.0.0/0到允許列表。要控製出口流量,請使用出口防火牆或代理設備阻止大部分流量,但允許Databricks需要連接到的url。看到配置防火牆和出站接入(可選)

創建VPC

要創建vpc,您可以使用各種工具:

使用AWS Console,創建和配置VPC及相關對象的基本說明如下所示。有關完整的說明,請參閱AWS文檔。

請注意

這些基本的指示可能並不適用於所有的組織。您的配置要求可能不同。本節不涵蓋配置nat、防火牆或其他網絡基礎設施的所有可能方法。如果您有任何問題,請在繼續之前聯係Databricks代表。

  1. AWS中的vpc頁麵

  2. 請查看右上方的區域選擇器。如果需要,切換到工作區的區域。

  3. 在右上角,單擊橙色按鈕創建VPC

    創建新的VPC編輯器

  4. 點擊VPC及更多

  5. 名牌自動生成為您的工作區鍵入一個名稱。Databricks建議在名稱中包含地區。

  6. “VPC地址範圍”可根據實際需要修改。

  7. 對於公網子網,單擊2.Databricks工作空間不直接使用這些子網,但是在這個編輯器中啟用nat需要它們。

  8. 對於私有子網,單擊2為工作空間子網的最小值。如果需要,您可以添加更多。

    Databricks工作區至少需要兩個私有子網。如果需要調整它們的大小,例如與多個需要單獨子網的工作區共享一個VPC,請單擊自定義子網CIDR塊

  9. 對於NAT網關,單擊1 AZ

  10. 確保底部的以下字段已啟用:啟用DNS主機名而且啟用DNS解析

  11. 點擊創建VPC

  12. 在查看新創建的VPC時,單擊左側導航中的,更新VPC的相關設置。為了便於查找相關對象,在按VPC過濾字段,選擇新的VPC。

  13. 點擊子網AWS稱之為私人標記為1和2的子網,您將使用它們來配置您的主工作區子網。修改子網VPC需求

    如果創建了額外的私有子網用於PrivateLink,請配置私有子網3啟用AWS PrivateLink

  14. 點擊安全組中指定的安全組安全組

    如果您將使用後端PrivateLink連接,請按照本節的PrivateLink文章中指定的方法,使用入站和出站規則創建一個額外的安全組步驟1:配置AWS網絡對象

  15. 點擊網絡acl,修改網絡acl子網級網絡acl

  16. 選擇是否執行本文後麵指定的可選配置。

  17. 在數據庫中注冊VPC,創建網絡配置使用帳戶控製台或通過使用帳戶API

配置防火牆和出站接入(可選)

如果你正在使用安全的集群連接(2020年9月1日的默認值),使用出口防火牆或代理設備來阻止大部分流量,但允許Databricks需要連接到的url:

  • 如果防火牆或代理設備與Databricks工作空間VPC在同一個VPC中,請對流量進行路由,並將其配置為允許以下連接。

  • 如果防火牆或代理設備在不同的VPC或內部網絡中,請選擇路由0.0.0.0/0首先連接到該VPC或網絡,並將代理設備配置為允許以下連接。

重要的

Databricks強烈建議將目的地指定為出口基礎結構中的域名,而不是IP地址。

允許以下傳出連接:

  • Databricks web應用:必須的。也用於對工作區的REST API調用。

  • 數據安全集群連接(SCC)中繼:如果您的工作空間使用安全集群連接,則必需,這是帳戶中的工作空間的默認E2版平台Beplay体育安卓版本截至2020年9月1日。

  • AWS S3全局URL: Databricks訪問S3根桶時的要求。

  • AWS S3區域URL:可選的。但是,您可能會使用其他S3 bucket,在這種情況下,還必須允許S3區域端點。Databricks建議創建一個S3 VPC端點,以便此流量通過AWS網絡骨幹網上的私有隧道。

  • AWS STS全球URL:必須的。

  • AWS STS區域URL:由於預期切換到區域端點,因此需要。

  • AWS Kinesis區域URL: Kinesis端點用於獲取管理和監控軟件所需的日誌。對於大多數區域,使用區域URL。然而,對於vpcus-west-1此時,VPC端點今天不會生效,需要確保Kinesis URL被允許使用us-west-2(不us-west-1).Databricks建議您創建一個Kinesis VPC端點,以便此流量通過AWS網絡骨幹網上的私有隧道。

  • 表亞metastore RDS區域URL(按數據平麵區域):如果你的Databricks工作空間使用默認的Hive metastore,這是必需的,它總是與你的數據平麵區域在同一個區域。這意味著它可能與控製平麵處於相同的地理位置,但區域不同。您可以選擇不使用默認的Hive metastore實現您自己的表metastore實例,在這種情況下,您負責其網絡路由。

需要的數據平麵地址

允許從以下地址連接到您所在的地區:

端點

VPC地區

地址

港口

Webapp

ap-northeast-1

tokyo.cloud.www.eheci.com

443

ap-northeast-2

seoul.cloud.www.eheci.com

443

ap-south-1

mumbai.cloud.www.eheci.com

443

ap-southeast-1

singapore.cloud.www.eheci.com

443

ap-southeast-2

sydney.cloud.www.eheci.com

443

ca-central-1

canada.cloud.www.eheci.com

443

eu-central-1

frankfurt.cloud.www.eheci.com

443

一來就

ireland.cloud.www.eheci.com

443

eu-west-2

london.cloud.www.eheci.com

443

us-east-1

nvirginia.cloud.www.eheci.com

443

us-east-2

ohio.cloud.www.eheci.com

443

us-west-1

oregon.cloud.www.eheci.com

443

us-west-2

oregon.cloud.www.eheci.com

443

鱗狀細胞癌繼電器

ap-northeast-1

tunnel.ap東北- 1. cloud.www.eheci.com

443

ap-northeast-2

tunnel.ap東北- 2. cloud.www.eheci.com

443

ap-south-1

tunnel.ap -南- 1. - cloud.www.eheci.com

443

ap-southeast-1

tunnel.ap東南- 1. cloud.www.eheci.com

443

ap-southeast-2

tunnel.ap東南- 2. cloud.www.eheci.com

443

ca-central-1

tunnel.ca中央- 1. cloud.www.eheci.com

443

eu-central-1

tunnel.eu中央- 1. cloud.www.eheci.com

443

一來就

tunnel.eu -西方- 1. cloud.www.eheci.com

443

eu-west-2

tunnel.eu -西方- 2. cloud.www.eheci.com

443

us-east-1

tunnel.us -東- 1. - cloud.www.eheci.com

443

us-east-2

tunnel.us -東- 2. - cloud.www.eheci.com

443

us-west-1

tunnel.cloud.www.eheci.com

443

us-west-2

tunnel.cloud.www.eheci.com

443

S3全球對於根桶

所有

s3.amazonaws.com

443

S3區域其他桶:Databricks建議使用VPC終端

所有

s3。<區域名稱> .amazonaws.com

443

STS全球

所有

sts.amazonaws.com

443

運動: Databricks推薦使用VPC終端

大部分地區

運動。<區域名稱> .amazonaws.com

443

us-west-1

kinesis.us -西方- 2. amazonaws.com

443

RDS(如果使用內置亞穩態)

ap-northeast-1

mddx5a4bpbpm05.cfrfsun7mryq.ap東北- 1. rds.amazonaws.com

3306

ap-northeast-2

md1915a81ruxky5.cfomhrbro6gt.ap東北- 2. rds.amazonaws.com

3306

ap-south-1

mdjanpojt83v6j.c5jml0fhgver.ap -南- 1. - rds.amazonaws.com

3306

ap-southeast-1

md1n4trqmokgnhr.csnrqwqko4ho.ap東南- 1. rds.amazonaws.com

3306

ap-southeast-2

mdnrak3rme5y1c.c5f38tyb1fdu.ap東南- 2. rds.amazonaws.com

3306

ca-central-1

md1w81rjeh9i4n5.co1tih5pqdrl.ca中央- 1. rds.amazonaws.com

3306

eu-central-1

mdv2llxgl8lou0.ceptxxgorjrc.eu中央- 1. rds.amazonaws.com

3306

一來就

md15cf9e1wmjgny.cxg30ia2wqgj.eu -西方- 1. rds.amazonaws.com

3306

eu-west-2

mdio2468d9025m.c6fvhwk6cqca.eu -西方- 2. rds.amazonaws.com

3306

us-east-1

mdb7sywh50xhpr.chkweekm4xjq.us -東- 1. - rds.amazonaws.com

3306

us-east-2

md7wf1g369xf22.cluz8hwxjhb6.us -東- 2. - rds.amazonaws.com

3306

us-west-1

mdzsbtnvk0rnce.c13weuwubexq.us -西方- 1. rds.amazonaws.com

3306

us-west-2

mdpartyyphlhsp.caj77bnxuhme.us -西方- 2. rds.amazonaws.com

3306

數據控製平麵基礎設施

ap-northeast-1

35.72.28.0/28

443

ap-northeast-2

3.38.156.176/28

443

ap-south-1

65.0.37.64/28

443

ap-southeast-1

13.214.1.96/28

443

ap-southeast-2

3.26.4.0/28

443

ca-central-1

3.96.84.208/28

443

一來就

3.250.244.112/28

443

eu-west-2

18.134.65.240/28

443

eu-central-1

18.159.44.32/28

443

us-east-1

3.237.73.224/28

443

us-east-2

3.128.237.208/28

443

us-west-1而且us-west-2

44.234.192.32/28

443

配置區域端點(可選)

使用自定義VPC(可選)和安全的集群連接(2020年9月1日的默認值),您可能更願意將VPC配置為隻使用區域VPC端點到AWS服務,以獲得更直接的連接,並與AWS全球端點相比降低成本。具有客戶管理的VPC的Databricks工作空間必須訪問四種AWS服務:STS、S3、Kinesis和RDS。

僅當使用默認的Databricks metastore時,才需要從VPC連接RDS服務。雖然RDS沒有VPC端點,但是您可以配置自己的外部metastore,而不是使用默認的Databricks metastore。實現一個外部亞穩態蜂巢metastoreAWS膠

對於其他三種服務,您可以創建VPC網關或接口端點,以便來自集群的相關區域內流量可以通過安全AWS骨幹網而不是公共網絡傳輸:

  • S3:創建VPC網關端點可以從Databricks集群子網直接訪問。這將導致所有區域內S3桶的工作空間流量使用端點路由。要訪問任何跨區域桶,請打開對S3全局URL的訪問s3.amazonaws.com在出口設備或路由中0.0.0.0/0到AWS互聯網網關。

    使用DBFS保險絲啟用區域端點:

    • 必須在要設置的集群配置中設置一個環境變量AWS_REGION = < aws-region-code >.例如,如果您的工作空間部署在N. Virginia區域,則設置AWS_REGION = us-east-1.要對所有集群強製執行,請使用集群政策

  • STS:創建VPC接口端點直接從您的Databricks集群子網訪問。您可以在工作區子網中創建此端點。Databricks建議您使用為您的工作空間VPC創建的相同的安全組。此配置導致到STS的工作區通信使用端點路由。

  • 運動:創建VPC接口端點直接從您的Databricks集群子網訪問。您可以在工作區子網中創建此端點。Databricks建議您使用為您的工作空間VPC創建的相同的安全組。這個配置導致Kinesis的工作空間流量使用端點路由。該規則的唯一例外是AWS區域中的工作區us-west-1這是不正確的,因為在這種情況下,目標運動流是跨區域到區域的us-west-2

區域端點故障排除

如果VPC端點不能正常工作,例如您的數據源無法訪問,或者流量繞過端點,請使用以下方法之一:

  1. 添加環境變量AWS_REGION在集群配置中並將其設置為您的AWS區域。要為所有集群啟用它,請使用集群政策.您可能已經配置了這個環境變量來使用DBFS FUSE。

  2. 添加所需的Apache Spark配置:

    • 要麼在每個源筆記本中

    scalaschadoopConfiguration“fs.s3a.endpoint”“https://s3 <地區> .amazonaws.com”。schadoopConfiguration“fs.s3a.stsAssumeRole.stsEndpoint”“https://sts <地區> .amazonaws.com”。
    pythonsc_jschadoopConfiguration()“fs.s3a.endpoint”“https://s3 <地區> .amazonaws.com”。sc_jschadoopConfiguration()“fs.s3a.stsAssumeRole.stsEndpoint”“https://sts <地區> .amazonaws.com”。

    • 在集群的Apache Spark配置中

    火花hadoopfss3a端點https//s3.<地區>。amazonawscom火花hadoopfss3astsAssumeRolestsEndpointhttps//sts.<地區>。amazonawscom

若要為所有集群設置這些值,請將這些值作為您的集群政策

使用實例概要訪問S3(可選)

訪問S3掛載使用實例配置文件,設置如下Spark配置:

  • 要麼在每個源筆記本中

    scalaschadoopConfiguration“fs.s3a.endpoint”“https://s3 <地區> .amazonaws.com”。schadoopConfiguration“fs.s3a.stsAssumeRole.stsEndpoint”“https://sts <地區> .amazonaws.com”。
    pythonsc_jschadoopConfiguration()“fs.s3a.endpoint”“https://s3 <地區> .amazonaws.com”。sc_jschadoopConfiguration()“fs.s3a.stsAssumeRole.stsEndpoint”“https://sts <地區> .amazonaws.com”。

  • 在集群的Apache Spark配置中

    火花hadoopfss3a端點https//s3.<地區>。amazonawscom火花hadoopfss3astsAssumeRolestsEndpointhttps//sts.<地區>。amazonawscom

若要為所有集群設置這些值,請將這些值作為您的集群政策

警告

對於S3服務,在筆記本或集群級別應用其他區域端點配置存在限製。值得注意的是,即使在出口防火牆或代理中允許全局S3 URL,對跨區域S3訪問的訪問也會被阻止。如果Databricks部署可能需要跨區域S3訪問,那麼不要在筆記本或集群級別應用Spark配置,這一點很重要。

限製S3桶訪問(可選)

大多數對S3的讀取和寫入都是自包含在數據平麵內的。但是,有些管理操作來源於控製平麵,由Databricks管理。如果需要限製S3桶隻能訪問指定的源IP地址,可以創建S3桶策略。桶策略中包含aws: SourceIp列表。如果您使用VPC端點,請將其添加到策略的Endpoint中,允許訪問該Endpointaws: sourceVpce

有關S3桶策略的詳細信息,請參見限製對特定IP地址的訪問在Amazon S3文檔中。工作桶策略示例也包括在本主題中。

桶策略需求

您的桶策略必須滿足這些要求,以確保您的集群正確啟動,並且您可以連接到它們:

  • 對象的訪問必須允許控製平麵NAT地址

  • 需要允許數據平麵VPC訪問,可執行以下操作之一:

    • (推薦)配置網關VPC EndpointCustomer-managed VPC把它加到aws: sourceVpce到桶策略,或者

    • 將數據平麵NAT IP地址添加到aws: SourceIp列表。

  • 當使用Amazon S3的端點策略,你的保單必須包括:

  • 避免從公司網絡中失去連接, Databricks建議始終允許來自至少一個已知且受信任的IP地址的訪問,例如企業VPN的公共IP。這是因為即使在AWS控製台中也應用拒絕條件。

所需的ip和存儲桶

該表包括使用S3桶策略和VPC Endpoint策略來限製對工作空間的S3桶的訪問時所需的信息。

地區

控製平麵NAT IP

神器存儲桶

日誌存儲桶

共享數據集桶

ap-northeast-1

18.177.16.95/32

databricks-prod-artifacts-ap-northeast-1

databricks-prod-storage-tokyo

databricks-datasets-tokyo

ap-northeast-2

54.180.50.119/32

databricks-prod-artifacts-ap-northeast-2

databricks-prod-storage-seoul

databricks-datasets-seoul

ap-south-1

13.232.248.161/32

databricks-prod-artifacts-ap-south-1

databricks-prod-storage-mumbai

databricks-datasets-mumbai

ap-southeast-1

13.213.212.4/32

databricks-prod-artifacts-ap-southeast-1

databricks-prod-storage-singapore

databricks-datasets-singapore

ap-southeast-2

13.237.96.217/32

databricks-prod-artifacts-ap-southeast-2

databricks-prod-storage-sydney

databricks-datasets-sydney

ca-central-1

35.183.59.105/32

databricks-prod-artifacts-ca-central-1

databricks-prod-storage-montreal

databricks-datasets-montreal

eu-central-1

18.159.32.64/32

databricks-prod-artifacts-eu-central-1

databricks-prod-storage-frankfurt

databricks-datasets-frankfurt

一來就

46.137.47.49/32

databricks-prod-artifacts-eu-west-1

databricks-prod-storage-ireland

databricks-datasets-ireland

eu-west-2

3.10.112.150/32

databricks-prod-artifacts-eu-west-2

databricks-prod-storage-london

databricks-datasets-london

us-east-1

54.156.226.103/32

databricks-prod-artifacts-us-east-1

databricks-prod-storage-virginia

databricks-datasets-virginia

us-east-2

18.221.200.169/32

databricks-prod-artifacts-us-east-2

databricks-prod-storage-ohio

databricks-datasets-ohio

us-west-1

52.27.216.188/32

databricks-prod-artifacts-us-west-2

databricks-prod-storage-oregon

databricks-datasets-oregon

us-west-2

52.27.216.188/32

databricks-prod-artifacts-us-west-2

databricks-prod-storage-oregon

databricks-datasets-oregon

桶策略示例

這些示例使用占位符文本來指示在哪裏指定推薦的IP地址和所需的存儲桶。檢查需求以確保您的集群正確啟動,並且您可以連接到它們。

限製對Databricks控製平麵、數據平麵和受信任ip的訪問:

S3桶策略使用Deny條件,有選擇地允許用戶指定的控製平麵、NAT網關和企業VPN IP地址訪問。將占位符文本替換為環境的值。可以添加任意數量的IP地址到策略中。為每個希望保護的S3桶創建一個策略。

重要的

如果使用“VPC端點”,此策略不完整。看到限製對控製平麵、VPC端點和信任ip的訪問

“席德”“IPAllow”“效應”“否認”“校長”“*”“行動”“s3: *”“資源”“攻擊:aws: s3::: < s3 bucket >”“攻擊:aws: s3::: < s3 bucket > / *”],“條件”“NotIpAddress”“aws: SourceIp”“< CONTROL-PLANE-NAT-IP >”“< DATA-PLANE-NAT-IP >”“< CORPORATE-VPN-IP >”

限製對Databricks控製平麵、VPC端點和可信ip的訪問:

如果使用VPC Endpoint訪問S3,則必須在策略中添加第二個條件。此條件允許您的VPC端點通過將其添加到aws: sourceVpce列表。

這個桶有選擇地允許您的VPC端點、控製平麵和您指定的企業VPN IP地址訪問。

使用“VPC端點”時,可以使用“VPC端點”策略,不支持使用S3桶策略。VPCE策略必須允許訪問您的根S3桶和所需的桶區域的工件、日誌和共享數據集桶.你可以了解VPC端點策略在AWS文檔中。

將占位符文本替換為環境的值。

“席德”“IPAllow”“效應”“否認”“校長”“*”“行動”“s3: *”“資源”“攻擊:aws: s3::: < s3 bucket >”“攻擊:aws: s3::: < s3 bucket > / *”],“條件”“NotIpAddressIfExists”“aws: SourceIp”“< CONTROL-PLANE-NAT-IP >”“< CORPORATE-VPN-IP >”},“StringNotEqualsIfExists”“aws: sourceVpce”“< VPCE-ID >”