IP訪問列表
使用Cloud SaaS應用程序的安全意識企業需要限製對其員工的訪問。身份驗證有助於證明用戶身份,但這不會強製用戶的網絡位置。從無抵押網絡訪問雲服務可能會對企業構成安全風險,尤其是當用戶授權訪問敏感或個人數據時。企業網絡周圍應用安全策略並限製對外部服務的訪問(例如,防火牆,代理,DLP和日誌記錄),因此假定這些控件以外的訪問被認為是不信任的。
例如,假設醫院的員工訪問數據助理工作區。如果員工從辦公室走到咖啡店,醫院也可以阻止與Databricks工作區的連接,即使客戶具有正確的憑據來訪問Web應用程序和REST API。
您可以配置Databricks工作區,以便員工僅通過具有安全周長的現有公司網絡連接到服務。DataBricks客beplay体育app下载地址戶可以使用IP訪問列表功能來定義一組批準的IP地址。對Web應用程序和REST API的所有傳入訪問都要求用戶從授權的IP地址連接。
對於遠程或旅行的員工,員工可以使用VPN連接到公司網絡,這反過來又可以訪問工作空間。使用上一個示例,醫院可以允許員工使用咖啡店的VPN訪問Databricks工作區。
要求
此功能需要該平台的E2版本。Beplay体育安卓版本
2020年9月,Databricks發布了該平台的E2版本,該版本提供:Beplay体育安卓版本
客戶管理的VPC:在您自己的VPC中創建Databricks工作區,而不是使用Databricks在AWS帳戶中創建和配置的單個AWS VPC中創建簇的默認體係結構。
安全集群連接:也稱為“無公共IP”,安全集群連接使您可以啟動群集,其中所有節點隻有私有IP地址,從而提供增強的安全性。
客戶管理的托管服務鑰匙:(公共預覽):在Databricks管理的控製平麵中提供KMS鍵來加密筆記本和秘密數據。
除了令牌管理,IP訪問列表,群集策略和IAM憑據傳遞之類的功能外,E2架構使AWS上的Databricks平台更加安全,更可擴展和更易於管理。Beplay体育安卓版本
新帳戶 - 選擇自定義帳戶 - 在E2平台上創建,並且大多數現有帳戶已遷移。Beplay体育安卓版本如果您不確定您的帳戶是否在E2平台上,請聯係您的數據鏈機代表。Beplay体育安卓版本
靈活配置
IP訪問列表功能靈活:
您自己的工作區管理員控製允許訪問的公共Internet上的IP地址集。這被稱為允許列表。明確或作為整個子網允許多個IP地址(例如216.58.195.78/28)。
工作區管理員可以選擇指定IP地址或子網即使將其包含在允許列表中,也可以阻止它們。這被稱為塊列表。如果允許的IP地址範圍包括較小的基礎架構IP地址,那麼實際上,實際上是實際安全網絡周邊,您可能會使用此功能。
Workspace管理員使用REST API來更新允許的IP地址和子網的列表。
功能細節
IP訪問列表API啟用Databricks Admins來配置工作空間的IP允許列表和塊列表。如果該功能被禁用了工作空間,則允許所有訪問權限。支持允許列表(包含)和塊列表(排除)。
嚐試連接時:
1。首先,檢查了所有塊列表。如果連接IP地址匹配任何塊列表,則拒絕連接。
2。如果連接未被塊列表拒絕,將IP地址與允許列表進行比較。如果至少有一個工作空間的允許列表,則僅在IP地址匹配允許列表時才允許連接。如果沒有工作空間的允許列表,則允許所有IP地址。
對於所有允許列表和塊列表的總和,工作空間最多支持1000 IP/CIDR值,其中一個CIDR將其視為一個值。
更改IP訪問列表功能之後,更改可能需要幾分鍾才能生效。
如何使用IP訪問列表API
本文討論了您可以使用API執行的最常見任務。有關完整的REST API參考,請參閱IP訪問列表API 2.0。要了解對Databricks API的身份驗證,請參閱使用Databricks個人訪問令牌進行身份驗證。
本文描述的端點的基本路徑是https:// , 在哪裏<帳戶> .cloud.www.eheci.com數據助理部署的域名。
檢查工作空間是否已啟用IP訪問列表功能
要檢查您的工作空間是否已啟用了IP訪問列表功能,請致電獲取功能狀態API((得到/workspace-conf)。經過鍵=啟用iPaccesslists作為請求的論點。
在回應中啟用iPaccesslists字段指定真的或者錯誤的。
例如:
卷曲-x -n\ \https:// /p.0/workspace-conf?keys=啟用iPaccesslists
示例響應:
{“啟用iPaccesslists”:“真的”,,,,}
啟用或禁用工作區的IP訪問列表功能
要啟用或禁用工作空間的IP訪問列表功能,請致電啟用或禁用IP訪問列表API((修補/workspace-conf)。
在JSON請求主體中,指定啟用iPaccesslists作為真的(啟用)或錯誤的(禁用)。
例如,啟用該功能:
卷曲-x補丁-N\ \https:// /p.0/workspace-conf\ \-d'{“ EnableIpaccesslists”:“ true”}'
示例響應:
{“啟用iPaccesslists”:“真的”}
添加IP訪問列表
要添加IP訪問列表,請致電添加IP訪問列表API((郵政/ip-access列表)。
在JSON請求主體中,指定:
標簽- 此列表的標簽。list_type- 任何一個允許(允許列表)或堵塞(一個塊列表,即使在允許列表中,也意味著排除)。ip_addresses- IP地址和CIDR範圍的JSON數組作為字符串值。
響應是您傳遞的對象的副本,但是有了一些其他字段,最重要的是list_id場地。您可能需要保存該值,以便以後更新或刪除列表。如果您不保存它,您仍然可以通過查詢完整的IP訪問列表來稍後獲得ID得到請求/ip-access列表端點。
例如,添加允許列表:
curl -x帖子-n\ \https:// /api/2.0/ip-access-lists -d'{“標簽”:“辦公室”,“ list_type”:“允許”,“ ip_addresses”:[“ 1.1.1.1”,“ 2.2.2.2/21”這是給予的}'
示例響應:
{“ ip_access_list”:{“ List_id”:“ ” ,,,,“標簽”:“辦公室”,,,,“ ip_addresses”:[[“ 1.1.1.1”,,,,“ 2.2.2.2/21”],,“ adversy_count”:2,,,,“ list_type”:“允許”,,,,“ create_at”:1578423494457,,,,“由...製作”:6476783916686816,,,,“ Updated_at”:1578423494457,,,,“ updated_by”:6476783916686816,,,,“啟用”:真的}}
要添加一個塊列表,請執行相同的操作list_type調成堵塞。
更新IP訪問列表
更新IP訪問列表:
致電列出所有IP訪問列表API((
得到/ip-access列表),並找到要更新列表的ID。致電更新IP訪問列表API((
修補/ip-access-lists/)。
在JSON請求主體中,指定以下值之一以更新:
標簽- 此列表的標簽。list_type- 任何一個允許(允許列表)或堵塞(塊列表,即使在允許列表中,這意味著排除)。ip_addresses- IP地址和CIDR範圍的JSON數組作為字符串值。已啟用- 指定該列表是否已啟用。經過真的或者錯誤的。
響應是您通過ID和修改日期的其他字段傳遞的對象的副本。
例如,更新列表以禁用它:
卷曲-x補丁-N\ \https:// /p.0/ip-access-lists/ -d -d -d-d'{“啟用”:“ false”}'
替換IP訪問列表
替換IP訪問列表:
致電列出所有IP訪問列表API((
得到/ip-access列表),並找到要替換的列表的ID。致電替換IP訪問列表API((
放/ip-access-lists/)。
在JSON請求主體中,指定:
標簽- 此列表的標簽。list_type- 任何一個允許(允許列表)或堵塞(塊列表,即使在允許列表中,這意味著排除)。ip_addresses- IP地址和CIDR範圍的JSON數組作為字符串值。已啟用- 指定該列表是否已啟用。經過真的或者錯誤的。
響應是您通過ID和修改日期的其他字段傳遞的對象的副本。
例如,將指定列表的內容替換為以下值:
卷曲-x put -n\ \https:// /p.0/ip-access-lists/ -d -d -d-d'{“標簽”:“辦公室”,“ list_type”:“允許”,“ ip_addresses”:[“ 1.1.1.1”,“ 2.2.2.2/21”],,“啟用”:“ false”}'
刪除IP訪問列表
刪除IP訪問列表:
致電列出所有IP訪問列表API((
得到/ip-access列表),並找到要刪除的列表的ID。致電刪除IP訪問列表API((
刪除/ip-access-lists/)。
卷曲-x刪除-n\ \https:// /p.0/ip-access-lists/