IP訪問列表工作區

企業使用雲SaaS應用程序需要限製自己的員工。認證有助於證明用戶身份,但這並不執行網絡位置的用戶。從一個不安全的網絡訪問雲服務可以對企業構成安全風險,特別是當用戶授權訪問敏感數據或個人數據。企業網絡周邊應用安全策略和限製訪問外部服務(例如,防火牆、代理、DLP和日誌記錄),所以訪問超出這些控件被認為是不可信的。

假設一個醫院員工訪問一個磚的工作區。如果員工從辦公室走到咖啡店,醫院可以阻止連接到磚工作區,即使他們有正確的憑證。

您可以配置數據磚工作區,這樣員工連接到服務隻有通過現有的企業網絡安全的周長。磚客戶可以使用IP訪問beplay体育app下载地址列表特性來定義一組通過IP地址。所有傳入訪問web應用程序和REST api需要授權用戶連接從一個IP地址。

如果內部VPN網絡授權,員工遠程或旅行可以使用VPN連接到公司網絡,進而使進入工作區。

IP訪問列表概述圖

如果你使用PrivateLink,注意,IP訪問列表僅適用於請求在互聯網上(公共IP地址)。私有IP地址從PrivateLink交通不能被IP訪問列表。阻止特定的私有IP地址PrivateLink流量,使用AWS網絡防火牆。如果你想限製PrivateLink連接一組注冊PrivateLink端點,改變你的工作空間的私人訪問設置對象使用端點訪問級別

需求

  • 這個特性要求E2版本的磚平台Beplay体育安卓版本

    新accounts-except選擇自定義帳戶上創建E2平台,和大多數現有的賬戶已經被遷移。Beplay体育安卓版本如果你不確定你的賬戶是否在E2平台上,請聯係您的磚的代表。Beplay体育安卓版本

  • 這個特性要求企業定價層

  • IP訪問列表隻支持互聯網協議版本4 (IPv4)地址。

靈活的配置

IP訪問列表特性靈活:

  • 自己的工作空間管理員控製IP地址的設置在公共互聯網上允許訪問。這就是所謂的允許列表。允許多個IP地址明確或作為整個子網(例如216.58.195.78/28)。

  • 工作區管理員可以指定IP地址或子網阻止即使它們包含在允許列表中。這就是所謂的塊列表。您可以使用這個功能如果允許IP地址範圍包括一個小範圍的基礎設施以外的IP地址,在實踐中是實際的安全的網絡邊界。

  • 工作空間管理員使用REST API來更新允許列表並阻止列表。

功能細節

IP訪問列表API允許磚管理員配置IP允許列表並阻止列表一個工作區。如果工作空間的功能被禁用,所有訪問是被允許的。支持允許列表(包含)和塊列表(排除)。

當一個連接嚐試:

  1. 首先檢查所有塊列表。如果連接IP地址匹配任何塊列表,連接將被拒絕。

  2. 如果連接沒有被阻止列表與允許相比,IP地址列表。如果至少有一個工作區允許列表,連接隻允許如果IP地址匹配一個允許列表。如果沒有工作區允許列表,允許所有IP地址。

對於所有允許列表並阻止列表結合,工作區支持最多1000個IP / CIDR值,其中一個CIDR計數作為一個單一的值。

更改後的IP訪問列表的功能,它可以花幾分鍾更改生效。

IP訪問列表流程圖

如何使用API

本文討論了最常見的任務可以執行的API。完整的REST API參考,請參閱IP訪問列表API。了解磚api進行身份驗證,請參閱令牌管理API

本文中描述的基本路徑端點https:// < databricks-instance > / api / 2.0,在那裏< databricks-instance ><描述> .cloud.www.eheci.com域名你磚的部署。

檢查工作區有IP訪問列表功能啟用

檢查如果您的工作區IP訪問列表功能啟用時,調用API獲得功能地位(得到/ workspace-conf)。通過鍵= enableIpAccessLists作為參數的要求。

在響應中,enableIpAccessLists字段指定要麼真正的

在響應中,enableIpAccessLists字段指定要麼真正的

例如:

curl - x - n\https:// < databricks-instance > / api / 2.0 / workspace-conf ?鑰匙=enableIpAccessLists

示例響應:

{“enableIpAccessLists”:“真正的”,}

啟用或禁用的IP訪問列表功能一個工作區

啟用或禁用為工作區IP訪問列表功能,調用啟用或禁用的IP訪問列表API(補丁/ workspace-conf)。

指定一個JSON請求主體enableIpAccessLists作為真正的(使)或(禁用)。

例如,啟用這個特性:

curl - x片- n\https:// < databricks-instance > / api / 2.0 / workspace-conf\- d”{“enableIpAccessLists”:“真正的”}'

示例響應:

{“enableIpAccessLists”:“真正的”}

添加一個IP訪問列表

添加一個IP訪問列表中,調用添加一個IP訪問列表API(帖子/ ip-access-lists)。

在JSON請求體中,指定:

  • 標簽——標簽列表。

  • list_type——要麼允許(允許列表)或(一塊列表,這意味著排除即使在允許列表中)。

  • ip_addresses——IP地址和CIDR範圍的JSON數組,字符串值。

響應是一個複製的對象,你通過了,但是有一些額外的字段,最重要的是list_id字段。你可能想要保存價值,這樣你就可以更新或刪除列表。如果你不保存它,你仍然能夠得到全套的ID後通過查詢IP的訪問列表得到請求/ ip-access-lists端點。

例如,添加一個允許列表:

curl - x - n後\https:// < databricks-instance > / api / 2.0 / ip-access-lists - d”{“標簽”:“辦公室”,“list_type”:“允許”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”]}'

示例響應:

{“ip_access_list”:{“list_id”:“< list-id >”,“標簽”:“辦公室”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“address_count”:2,“list_type”:“允許”,“created_at”:1578423494457,“created_by”:6476783916686816,“updated_at”:1578423494457,“updated_by”:6476783916686816,“啟用”:真正的}}

一塊添加到列表,但是做同樣的事情list_type設置為

更新一個IP訪問列表

更新一個IP訪問列表:

  1. 調用列出所有IP訪問列表API(得到/ ip-access-lists),並找到您想要更新的ID列表。

  2. 調用更新一個IP訪問列表API(補丁/ ip-access-lists / < list-id >)。

在JSON請求體中,指定至少更新下列值之一:

  • 標簽——標簽列表。

  • list_type——要麼允許(允許列表)或(塊列表,這意味著排除即使在允許列表中)。

  • ip_addresses——IP地址和CIDR範圍的JSON數組,字符串值。

  • 啟用——指定是否啟用這個列表。通過真正的

響應你傳入的對象的一個副本附加字段ID和修改日期。

例如,禁用列表:

curl - x片- n\https:// < databricks-instance > / api / 2.0 / ip-access-lists / < list-id > - d”{“啟用”:“false”}’

替換一個IP訪問列表

替換一個IP訪問列表:

  1. 調用列出所有IP訪問列表API(得到/ ip-access-lists),並找到你想替換的ID列表。

  2. 調用替換一個IP訪問列表API(/ ip-access-lists / < list-id >)。

在JSON請求體中,指定:

  • 標簽——標簽列表。

  • list_type——要麼允許(允許列表)或(塊列表,這意味著排除即使在允許列表中)。

  • ip_addresses——IP地址和CIDR範圍的JSON數組,字符串值。

  • 啟用——指定是否啟用這個列表。通過真正的

響應你傳入的對象的一個副本附加字段ID和修改日期。

例如,指定列表的內容替換為以下值:

curl - x將- n\https:// < databricks-instance > / api / 2.0 / ip-access-lists / < list-id > - d”{“標簽”:“辦公室”,“list_type”:“允許”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“啟用”:“假”}'

刪除一個IP訪問列表

刪除一個IP訪問列表:

  1. 調用列出所有IP訪問列表API(得到/ ip-access-lists),找到你要刪除的ID列表。

  2. 調用刪除一個IP訪問列表API(刪除/ ip-access-lists / < list-id >)。

例如:

curl - x - n刪除\https:// < databricks-instance > / api / 2.0 / ip-access-lists / < list-id >