重要
此功能在 Beta 版中。
本页概述了基于上下文的入口控件。 有关无服务器出口控件,请参阅 什么是无服务器出口控件?。
若要配置入口策略,请参阅 管理基于上下文的入口策略。
基于上下文的入口控件概述
基于上下文的入口控制与 IP 访问列表和前端专用连接协同工作,使帐户管理员能够设置组合以下因素的允许和拒绝规则:谁 正在呼叫、他们从哪里呼叫,以及他们可以在 Azure Databricks 中访问的 内容。 这可确保只有受信任的标识、请求类型和网络源组合能访问您的工作区。 基于上下文的入口控件在帐户级别配置。 单个策略可以管理多个工作区,确保在整个组织中实施一致。
使用基于上下文的入口,可以:
- 除了凭据之外,还要求使用第二个因素(受信任的网络源)来停止从不受信任的网络进行访问。
- 允许对没有稳定出口 IP 的 SaaS 客户端,通过识别标识而不是 IP 范围来进行访问。
- 通过允许不太受信任的源仅使用某些范围(如 Databricks API 或工作区 UI)来限制访问。
- 保护特权自动化:仅将高价值服务主体限制为高信任网络。
- 有效审核:捕获 Unity 目录系统表中的详细拒绝日志,以监视阻止的请求。
基于上下文的入口控制核心概念
网络源
网络源定义请求的源。 支持的类型包括:
- 所有公共 IP:任何公共 Internet 源。
- 所选 IP:特定的 IPv4 地址或 CIDR 范围。
访问类型
规则适用于不同的入站请求范围。 每个范围表示一个允许或拒绝的入站请求类别:
- 工作区 UI:浏览器访问工作区。
- API:通过 Databricks API 进行编程访问,包括 SQL 终结点(JDBC/ODBC)。
- 应用:允许或拒绝访问 Databricks Apps 部署。 请参阅 Databricks 应用。 此访问类型仅支持所有用户 和服务主体 标识选项。
- Lakebase Compute 服务:连接到 Lakebase 数据库实例。 请参阅 Lakebase 实例。 此访问类型仅支持所有用户 和服务主体 标识选项。
标识
规则可以面向不同的身份标识类型。 对于 应用 和 Lakebase 计算 访问类型,唯一支持的选项是 “所有用户和服务主体”。
- 所有用户和服务主体:包括人工用户和自动化用户。
- 所有用户:仅限人类用户。
- 所有服务主体:仅自动化标识。
- 所选标识:管理员选择的特定用户或服务主体。
规则评估
- 默认拒绝:在受限模式下,除非显式允许,否则将拒绝访问。
- 允许前拒绝:如果这两种类型的规则都存在,则拒绝规则优先。
- 默认策略:每个帐户都有一个应用于所有符合条件的工作区的默认入口策略,无需显式策略分配。
实施模式
基于上下文的入口策略支持两种模式:
- 对所有产品强制实施:将主动应用规则并阻止违反请求。
- 所有产品的模拟运行模式:违规行为虽然已被记录,但请求不受阻碍,因此可以安全地评估策略影响。
Auditing
拒绝或干运行请求记录在系统表system.access.inbound_network中。 每个日志条目包括:
- 事件时间
- 工作区 ID
- 请求类型
- 身份
- 网络源
- 访问类型(拒绝或DRY_RUN_DENIAL)
可以查询这些日志,以验证规则是否已正确应用,并检测意外的访问尝试。
与其他控件的关系
- 工作区 IP 访问列表:在基于上下文的入口策略允许请求之前进行评估。 双方都必须允许请求。 工作区 IP 访问列表可以进一步缩小访问权限范围,但不能将其扩大。
- 无服务器出口控制:通过控制来自无服务器计算的出站网络流量来补充入口策略。 请参阅 “管理网络策略”。
- 前端专用连接:在 “允许公用网络访问”启用时,与入口策略一同被强制执行。 如果禁用“允许公用网络访问”,则会阻止所有公共入口,并且不会评估入口策略。 请参阅 配置与 Azure Databricks 的专用连接。
最佳做法
- 从 干运行模式 开始,观察没有中断访问的影响。
- 尽可能对轮换 IP 的 SaaS 客户端使用 基于标识的规则 。
- 首先将 拒绝规则 应用于特权服务主体,以限制爆炸半径。
- 保持策略名称清晰且一致,以便长期可维护。