IP访问列表工作区

企业使用云SaaS应用程序需要限制自己的员工。认证有助于证明用户身份,但这并不执行网络位置的用户。从一个不安全的网络访问云服务可以对企业构成安全风险,特别是当用户授权访问敏感数据或个人数据。企业网络周边应用安全策略和限制访问外部服务(例如,防火墙、代理、DLP和日志记录),所以访问超出这些控件被认为是不可信的。

假设一个医院员工访问一个砖的工作区。如果员工从办公室走到咖啡店,医院可以阻止连接到砖工作区,即使他们有正确的凭证。

您可以配置数据砖工作区,这样员工连接到服务只有通过现有的企业网络安全的周长。砖客户可以使用IP访问列表特性来定义一组通过IP地址。所有传入访问web应用程序和REST api需要授权用户连接从一个IP地址。

如果内部VPN网络授权,员工远程或旅行可以使用VPN连接到公司网络,进而使进入工作区。

需求

这个特性要求保费计划。

IP访问列表只支持互联网协议版本4 (IPv4)地址。

灵活的配置

IP访问列表特性灵活:

自己的工作空间管理员控制IP地址的设置在公共互联网上允许访问。这就是所谓的允许列表。允许多个IP地址明确或作为整个子网(例如216.58.195.78/28)。
工作区管理员可以指定IP地址或子网阻止即使它们包含在允许列表中。这就是所谓的块列表。您可以使用这个功能如果允许IP地址范围包括一个小范围的基础设施以外的IP地址,在实践中是实际的安全的网络边界。
工作空间管理员使用REST API来更新允许列表并阻止列表。

功能细节

IP访问列表API允许砖管理员配置IP允许列表并阻止列表一个工作区。如果工作空间的功能被禁用,所有访问是被允许的。支持允许列表(包含)和块列表(排除)。

当一个连接尝试:

首先检查所有块列表。如果连接IP地址匹配任何块列表,连接将被拒绝。
如果连接没有被阻止列表与允许相比,IP地址列表。如果至少有一个工作区允许列表,连接只允许如果IP地址匹配一个允许列表。如果没有工作区允许列表,允许所有IP地址。

对于所有允许列表并阻止列表结合,工作区支持最多1000个IP / CIDR值,其中一个CIDR计数作为一个单一的值。

更改后的IP访问列表的功能,它可以花几分钟更改生效。

如何使用API

本文讨论了最常见的任务可以执行的API。完整的REST API参考,请参阅IP访问列表API。了解砖api进行身份验证,请参阅令牌管理API。

本文中描述的基本路径端点https:// < databricks-instance > / api / 2.0,在那里< databricks-instance >是< workspace-ID >。<数字> .gcp.www.neidfyre.com域名你砖的部署。

检查工作区有IP访问列表功能启用

检查如果您的工作区IP访问列表功能启用时,调用API获得功能地位(得到/ workspace-conf)。通过键= enableIpAccessLists作为参数的要求。

在响应中,enableIpAccessLists字段指定要么真正的或假。

例如:

             curl - x - n\https:// < databricks-instance > / api / 2.0 / workspace-conf ?钥匙=enableIpAccessLists
            

示例响应:

             {“enableIpAccessLists”:“真正的”,}
            

启用或禁用的IP访问列表功能一个工作区

启用或禁用为工作区IP访问列表功能,调用启用或禁用的IP访问列表API(补丁/ workspace-conf)。

指定一个JSON请求主体enableIpAccessLists作为真正的(使)或假(禁用)。

例如,启用这个特性:

             curl - x片- n\https:// < databricks-instance > / api / 2.0 / workspace-conf\- d”{“enableIpAccessLists”:“真正的”}'
            

示例响应:

             {“enableIpAccessLists”:“真正的”}
            

添加一个IP访问列表

添加一个IP访问列表中,调用添加一个IP访问列表API(帖子/ ip-access-lists)。

警告

当IP访问列表功能已启用并没有允许工作区列表或阻止列表,允许所有IP地址。将IP地址添加到允许列表块不在名单上的所有IP地址。仔细检查修改,避免意外的访问限制。

在JSON请求体中,指定:

标签——标签列表。
list_type——要么允许(允许列表)或块(一块列表,这意味着排除即使在允许列表中)。
ip_addresses——IP地址和CIDR范围的JSON数组,字符串值。

响应是一个复制的对象,你通过了,但是有一些额外的字段,最重要的是list_id字段。你可能想要保存价值,这样你就可以更新或删除列表。如果你不保存它,你仍然能够得到全套的ID后通过查询IP的访问列表得到请求/ ip-access-lists端点。

例如,添加一个允许列表:

             curl - x - n后\https:// < databricks-instance > / api / 2.0 / ip-access-lists - d”{“标签”:“办公室”,“list_type”:“允许”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”]}'
            

示例响应:

             {“ip_access_list”:{“list_id”:“< list-id >”,“标签”:“办公室”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“address_count”:2,“list_type”:“允许”,“created_at”:1578423494457,“created_by”:6476783916686816,“updated_at”:1578423494457,“updated_by”:6476783916686816,“启用”:真正的}}
            

一块添加到列表,但是做同样的事情list_type设置为块。

更新一个IP访问列表

更新一个IP访问列表:

调用列出所有IP访问列表API(得到/ ip-access-lists),并找到您想要更新的ID列表。
调用更新一个IP访问列表API(补丁/ ip-access-lists / < list-id >)。

在JSON请求体中,指定至少更新下列值之一:

标签——标签列表。
list_type——要么允许(允许列表)或块(块列表,这意味着排除即使在允许列表中)。
ip_addresses——IP地址和CIDR范围的JSON数组,字符串值。
启用——指定是否启用这个列表。通过真正的或假。

响应你传入的对象的一个副本附加字段ID和修改日期。

例如,禁用列表:

             curl - x片- n\https:// < databricks-instance > / api / 2.0 / ip-access-lists / < list-id > - d”{“启用”:“false”}’
            

替换一个IP访问列表

替换一个IP访问列表:

调用列出所有IP访问列表API(得到/ ip-access-lists),并找到你想替换的ID列表。
调用替换一个IP访问列表API(把/ ip-access-lists / < list-id >)。

在JSON请求体中,指定:

标签——标签列表。
list_type——要么允许(允许列表)或块(块列表,这意味着排除即使在允许列表中)。
ip_addresses——IP地址和CIDR范围的JSON数组,字符串值。
启用——指定是否启用这个列表。通过真正的或假。

响应你传入的对象的一个副本附加字段ID和修改日期。

例如,指定列表的内容替换为以下值:

             curl - x将- n\https:// < databricks-instance > / api / 2.0 / ip-access-lists / < list-id > - d”{“标签”:“办公室”,“list_type”:“允许”,“ip_addresses”:(“1.1.1.1”,“2.2.2.2/21”),“启用”:“假”}'
            

删除一个IP访问列表

删除一个IP访问列表:

调用列出所有IP访问列表API(得到/ ip-access-lists),找到你要删除的ID列表。
调用删除一个IP访问列表API(删除/ ip-access-lists / < list-id >)。

例如:

             curl - x - n删除\https:// < databricks-instance > / api / 2.0 / ip-access-lists / < list-id >
            