IP訪問列表工作區
企業使用雲SaaS應用程序需要限製自己的員工。認證有助於證明用戶身份,但這並不執行網絡位置的用戶。從一個不安全的網絡訪問雲服務可以對企業構成安全風險,特別是當用戶授權訪問敏感數據或個人數據。企業網絡周邊應用安全策略和限製訪問外部服務(例如,防火牆、代理、DLP和日誌記錄),所以訪問超出這些控件被認為是不可信的。
假設一個醫院員工訪問一個磚的工作區。如果員工從辦公室走到咖啡店,醫院可以阻止連接到磚工作區,即使他們有正確的憑證。
您可以配置數據磚工作區,這樣員工連接到服務隻有通過現有的企業網絡安全的周長。磚客戶可以使用IP訪問beplay体育app下载地址列表特性來定義一組通過IP地址。所有傳入訪問web應用程序和REST api需要授權用戶連接從一個IP地址。
如果內部VPN網絡授權,員工遠程或旅行可以使用VPN連接到公司網絡,進而使進入工作區。
如果你使用PrivateLink,注意,IP訪問列表僅適用於請求在互聯網上(公共IP地址)。私有IP地址從PrivateLink交通不能被IP訪問列表。阻止特定的私有IP地址PrivateLink流量,使用AWS網絡防火牆。如果你想限製PrivateLink連接一組注冊PrivateLink端點,改變你的工作空間的私人訪問設置對象使用端點訪問級別。
需求
這個特性要求E2版本的磚平台Beplay体育安卓版本。
新accounts-except選擇自定義帳戶上創建E2平台,和大多數現有的賬戶已經被遷移。Beplay体育安卓版本如果你不確定你的賬戶是否在E2平台上,請聯係您的磚的代表。Beplay体育安卓版本
這個特性要求企業定價層。
IP訪問列表隻支持互聯網協議版本4 (IPv4)地址。
靈活的配置
IP訪問列表特性靈活:
自己的工作空間管理員控製IP地址的設置在公共互聯網上允許訪問。這就是所謂的允許列表。允許多個IP地址明確或作為整個子網(例如
216.58.195.78/28
)。工作區管理員可以指定IP地址或子網阻止即使它們包含在允許列表中。這就是所謂的塊列表。您可以使用這個功能如果允許IP地址範圍包括一個小範圍的基礎設施以外的IP地址,在實踐中是實際的安全的網絡邊界。
工作空間管理員使用REST API來更新允許列表並阻止列表。
功能細節
IP訪問列表API允許磚管理員配置IP允許列表並阻止列表一個工作區。如果工作空間的功能被禁用,所有訪問是被允許的。支持允許列表(包含)和塊列表(排除)。
當一個連接嚐試:
首先檢查所有塊列表。如果連接IP地址匹配任何塊列表,連接將被拒絕。
如果連接沒有被阻止列表與允許相比,IP地址列表。如果至少有一個工作區允許列表,連接隻允許如果IP地址匹配一個允許列表。如果沒有工作區允許列表,允許所有IP地址。
對於所有允許列表並阻止列表結合,工作區支持最多1000個IP / CIDR值,其中一個CIDR計數作為一個單一的值。
更改後的IP訪問列表的功能,它可以花幾分鍾更改生效。
如何使用API
本文討論了最常見的任務可以執行的API。完整的REST API參考,請參閱IP訪問列表API。了解磚api進行身份驗證,請參閱令牌管理API。
本文中描述的基本路徑端點https:// < databricks-instance > / api / 2.0
,在那裏< databricks-instance >
是<描述> .cloud.www.eheci.com
域名你磚的部署。
檢查工作區有IP訪問列表功能啟用
檢查如果您的工作區IP訪問列表功能啟用時,調用API獲得功能地位(得到/ workspace-conf
)。通過鍵= enableIpAccessLists
作為參數的要求。
在響應中,enableIpAccessLists
字段指定要麼真正的
或假
。
在響應中,enableIpAccessLists
字段指定要麼真正的
或假
。
例如:
curl - x - n\https:// < databricks-instance > / api / 2.0 / workspace-conf ?鑰匙=enableIpAccessLists
示例響應:
{“enableIpAccessLists”:“真正的”,}
啟用或禁用的IP訪問列表功能一個工作區
啟用或禁用為工作區IP訪問列表功能,調用啟用或禁用的IP訪問列表API(補丁/ workspace-conf
)。
指定一個JSON請求主體enableIpAccessLists
作為真正的
(使)或假
(禁用)。
例如,啟用這個特性:
curl - x片- n\https:// < databricks-instance > / api / 2.0 / workspace-conf\- d”{“enableIpAccessLists”:“真正的”}'
示例響應:
{“enableIpAccessLists”:“真正的”}
添加一個IP訪問列表
添加一個IP訪問列表中,調用添加一個IP訪問列表API(帖子/ ip-access-lists
)。
在JSON請求體中,指定:
標簽
——標簽列表。list_type
——要麼允許
(允許列表)或塊
(一塊列表,這意味著排除即使在允許列表中)。ip_addresses
——IP地址和CIDR範圍的JSON數組,字符串值。
響應是一個複製的對象,你通過了,但是有一些額外的字段,最重要的是list_id
字段。你可能想要保存價值,這樣你就可以更新或刪除列表。如果你不保存它,你仍然能夠得到全套的ID後通過查詢IP的訪問列表得到
請求/ ip-access-lists
端點。
例如,添加一個允許列表:
curl - x - n後\https:// < databricks-instance > / api / 2.0 / ip-access-lists - d”{“標簽”:“辦公室”,“list_type”:“允許”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”]}'
示例響應:
{“ip_access_list”:{“list_id”:“< list-id >”,“標簽”:“辦公室”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“address_count”:2,“list_type”:“允許”,“created_at”:1578423494457,“created_by”:6476783916686816,“updated_at”:1578423494457,“updated_by”:6476783916686816,“啟用”:真正的}}
一塊添加到列表,但是做同樣的事情list_type
設置為塊
。
更新一個IP訪問列表
更新一個IP訪問列表:
調用列出所有IP訪問列表API(
得到/ ip-access-lists
),並找到您想要更新的ID列表。調用更新一個IP訪問列表API(
補丁/ ip-access-lists / < list-id >
)。
在JSON請求體中,指定至少更新下列值之一:
標簽
——標簽列表。list_type
——要麼允許
(允許列表)或塊
(塊列表,這意味著排除即使在允許列表中)。ip_addresses
——IP地址和CIDR範圍的JSON數組,字符串值。啟用
——指定是否啟用這個列表。通過真正的
或假
。
響應你傳入的對象的一個副本附加字段ID和修改日期。
例如,禁用列表:
curl - x片- n\https:// < databricks-instance > / api / 2.0 / ip-access-lists / < list-id > - d”{“啟用”:“false”}’
替換一個IP訪問列表
替換一個IP訪問列表:
調用列出所有IP訪問列表API(
得到/ ip-access-lists
),並找到你想替換的ID列表。調用替換一個IP訪問列表API(
把/ ip-access-lists / < list-id >
)。
在JSON請求體中,指定:
標簽
——標簽列表。list_type
——要麼允許
(允許列表)或塊
(塊列表,這意味著排除即使在允許列表中)。ip_addresses
——IP地址和CIDR範圍的JSON數組,字符串值。啟用
——指定是否啟用這個列表。通過真正的
或假
。
響應你傳入的對象的一個副本附加字段ID和修改日期。
例如,指定列表的內容替換為以下值:
curl - x將- n\https:// < databricks-instance > / api / 2.0 / ip-access-lists / < list-id > - d”{“標簽”:“辦公室”,“list_type”:“允許”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“啟用”:“假”}'
刪除一個IP訪問列表
刪除一個IP訪問列表:
調用列出所有IP訪問列表API(
得到/ ip-access-lists
),找到你要刪除的ID列表。調用刪除一個IP訪問列表API(
刪除/ ip-access-lists / < list-id >
)。
例如:
curl - x - n刪除\https:// < databricks-instance > / api / 2.0 / ip-access-lists / < list-id >