IP访问列表工作区
企业使用云SaaS应用程序需要限制自己的员工。认证有助于证明用户身份,但这并不执行网络位置的用户。从一个不安全的网络访问云服务可以对企业构成安全风险,特别是当用户授权访问敏感数据或个人数据。企业网络周边应用安全策略和限制访问外部服务(例如,防火墙、代理、DLP和日志记录),所以访问超出这些控件被认为是不可信的。
假设一个医院员工访问一个砖的工作区。如果员工从办公室走到咖啡店,医院可以阻止连接到砖工作区,即使他们有正确的凭证。
您可以配置数据砖工作区,这样员工连接到服务只有通过现有的企业网络安全的周长。砖客户可以使用IP访问列表特性来定义一组通过IP地址。所有传入访问web应用程序和REST api需要授权用户连接从一个IP地址。
如果内部VPN网络授权,员工远程或旅行可以使用VPN连接到公司网络,进而使进入工作区。
如果你使用PrivateLink,注意,IP访问列表仅适用于请求在互联网上(公共IP地址)。私有IP地址从PrivateLink交通不能被IP访问列表。阻止特定的私有IP地址PrivateLink流量,使用AWS网络防火墙。如果你想限制PrivateLink连接一组注册PrivateLink端点,改变你的工作空间的私人访问设置对象使用端点访问级别。
需求
这个特性要求E2版本的砖平台bob体育客户端下载。
新accounts-except选择自定义帐户上创建E2平台,和大多数现有的账户已经被迁移。bob体育客户端下载如果你不确定你的账户是否在E2平台上,请联系您的砖的代表。bob体育客户端下载
这个特性要求企业定价层。
IP访问列表只支持互联网协议版本4 (IPv4)地址。
灵活的配置
IP访问列表特性灵活:
自己的工作空间管理员控制IP地址的设置在公共互联网上允许访问。这就是所谓的允许列表。允许多个IP地址明确或作为整个子网(例如
216.58.195.78/28
)。工作区管理员可以指定IP地址或子网阻止即使它们包含在允许列表中。这就是所谓的块列表。您可以使用这个功能如果允许IP地址范围包括一个小范围的基础设施以外的IP地址,在实践中是实际的安全的网络边界。
工作空间管理员使用REST API来更新允许列表并阻止列表。
功能细节
IP访问列表API允许砖管理员配置IP允许列表并阻止列表一个工作区。如果工作空间的功能被禁用,所有访问是被允许的。支持允许列表(包含)和块列表(排除)。
当一个连接尝试:
首先检查所有块列表。如果连接IP地址匹配任何块列表,连接将被拒绝。
如果连接没有被阻止列表与允许相比,IP地址列表。如果至少有一个工作区允许列表,连接只允许如果IP地址匹配一个允许列表。如果没有工作区允许列表,允许所有IP地址。
对于所有允许列表并阻止列表结合,工作区支持最多1000个IP / CIDR值,其中一个CIDR计数作为一个单一的值。
更改后的IP访问列表的功能,它可以花几分钟更改生效。
如何使用API
本文讨论了最常见的任务可以执行的API。完整的REST API参考,请参阅IP访问列表API。了解砖api进行身份验证,请参阅令牌管理API。
本文中描述的基本路径端点https:// < databricks-instance > . . / api / 2.0
,在那里< databricks-instance >
是<描述> .cloud.www.neidfyre.com
域名你砖的部署。
检查工作区有IP访问列表功能启用
检查如果您的工作区IP访问列表功能启用时,调用API获得功能地位(得到/ workspace-conf
)。通过键= enableIpAccessLists
作为参数的要求。
在响应中,enableIpAccessLists
字段指定要么真正的
或假
。
在响应中,enableIpAccessLists
字段指定要么真正的
或假
。
例如:
curl - x - n\https:// < databricks-instance > . . / api / 2.0 / workspace-conf ?钥匙=enableIpAccessLists
示例响应:
{“enableIpAccessLists”:“真正的”,}
启用或禁用的IP访问列表功能一个工作区
启用或禁用为工作区IP访问列表功能,调用启用或禁用的IP访问列表API(补丁/ workspace-conf
)。
指定一个JSON请求主体enableIpAccessLists
作为真正的
(使)或假
(禁用)。
例如,启用这个特性:
curl - x片- n\https:// < databricks-instance > . . / api / 2.0 / workspace-conf\- d”{“enableIpAccessLists”:“真正的”}'
示例响应:
{“enableIpAccessLists”:“真正的”}
添加一个IP访问列表
添加一个IP访问列表中,调用添加一个IP访问列表API(帖子/ ip-access-lists
)。
警告
当IP访问列表功能已启用并没有允许工作区列表或阻止列表,允许所有IP地址。将IP地址添加到允许列表块不在名单上的所有IP地址。仔细检查修改,避免意外的访问限制。
在JSON请求体中,指定:
标签
——标签列表。list_type
——要么允许
(允许列表)或块
(一块列表,这意味着排除即使在允许列表中)。ip_addresses
——IP地址和CIDR范围的JSON数组,字符串值。
响应是一个复制的对象,你通过了,但是有一些额外的字段,最重要的是list_id
字段。你可能想要保存价值,这样你就可以更新或删除列表。如果你不保存它,你仍然能够得到全套的ID后通过查询IP的访问列表得到
请求/ ip-access-lists
端点。
例如,添加一个允许列表:
curl - x - n后\https:// < databricks-instance > . . / api / 2.0 / ip-access-lists - d”{“标签”:“办公室”,“list_type”:“允许”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”]}'
示例响应:
{“ip_access_list”:{“list_id”:“< list-id >”,“标签”:“办公室”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“address_count”:2,“list_type”:“允许”,“created_at”:1578423494457,“created_by”:6476783916686816,“updated_at”:1578423494457,“updated_by”:6476783916686816,“启用”:真正的}}
一块添加到列表,但是做同样的事情list_type
设置为块
。
更新一个IP访问列表
更新一个IP访问列表:
调用列出所有IP访问列表API(
得到/ ip-access-lists
),并找到您想要更新的ID列表。调用更新一个IP访问列表API(
补丁/ ip-access-lists / < list-id >
)。
在JSON请求体中,指定至少更新下列值之一:
标签
——标签列表。list_type
——要么允许
(允许列表)或块
(块列表,这意味着排除即使在允许列表中)。ip_addresses
——IP地址和CIDR范围的JSON数组,字符串值。启用
——指定是否启用这个列表。通过真正的
或假
。
响应你传入的对象的一个副本附加字段ID和修改日期。
例如,禁用列表:
curl - x片- n\https:// < databricks-instance > . . / api / 2.0 / ip-access-lists / < list-id > - d”{“启用”:“false”}’
替换一个IP访问列表
替换一个IP访问列表:
调用列出所有IP访问列表API(
得到/ ip-access-lists
),并找到你想替换的ID列表。调用替换一个IP访问列表API(
把/ ip-access-lists / < list-id >
)。
在JSON请求体中,指定:
标签
——标签列表。list_type
——要么允许
(允许列表)或块
(块列表,这意味着排除即使在允许列表中)。ip_addresses
——IP地址和CIDR范围的JSON数组,字符串值。启用
——指定是否启用这个列表。通过真正的
或假
。
响应你传入的对象的一个副本附加字段ID和修改日期。
例如,指定列表的内容替换为以下值:
curl - x将- n\https:// < databricks-instance > . . / api / 2.0 / ip-access-lists / < list-id > - d”{“标签”:“办公室”,“list_type”:“允许”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“启用”:“假”}'
删除一个IP访问列表
删除一个IP访问列表:
调用列出所有IP访问列表API(
得到/ ip-access-lists
),找到你要删除的ID列表。调用删除一个IP访问列表API(
删除/ ip-access-lists / < list-id >
)。
例如:
curl - x - n删除\https:// < databricks-instance > . . / api / 2.0 / ip-access-lists / < list-id >