サーバーレス エグレス制御とは

この記事では、サーバーレス エグレス制御を使用して、サーバーレス コンピューティング リソースからの送信ネットワーク接続を管理する方法について説明します。

サーバーレス エグレス制御では、サーバーレス ワークロードからの送信接続を管理できるため、セキュリティ態勢が強化され、データ流出のリスクが軽減されます。

ネットワーク ポリシーを使用すると、次のことができます。

• 既定で拒否する態勢の適用: インターネット、クラウド ストレージ、Databricks API 接続に対して、既定で拒否ポリシーを有効にすることで、送信アクセスをきめ細かく制御します。
• 管理の簡素化: を簡素化する: 複数のサーバーレス製品にわたって、すべてのサーバーレス ワークロードに対して一貫したエグレス制御態勢を定義します。
• 複数のワークスペースにまたがる管理を簡単に大規模に行う: ワークスペースをまたいで体制を一元管理し、Databricks アカウントに既定のポリシーを強制適用します。
• ポリシーを安全に実装する: 完全な適用の前に、ドライラン モードで最初に新しいポリシーの影響を評価することで、リスクを軽減します。

サーバーレス エグレス制御は、次のサーバーレス製品でサポートされています。ノートブック、ワークフロー、SQL ウェアハウス、Lakeflow 宣言パイプライン、モザイク AI モデル サービス、Lakehouse Monitoring、Databricks Apps (サポートが制限されています)。

ネットワーク ポリシーの概要

ネットワーク ポリシーは、Azure Databricks アカウント レベルで適用される構成オブジェクトです。 1 つのネットワーク ポリシーを複数の Azure Databricks ワークスペースに関連付けることができますが、各ワークスペースは一度に 1 つのポリシーにのみリンクできます。

ネットワーク ポリシーは、関連付けられているワークスペース内のサーバーレス ワークロードのネットワーク アクセス モードを定義します。 主なモードは 2 つあります。

• フル アクセス: サーバーレス ワークロードには、インターネットやその他のネットワーク リソースへの無制限の送信アクセスがあります。

• 制限付きアクセス: 送信アクセスは次に制限されます。

  • Unity カタログの外部の場所: ワークスペースからアクセスできる Unity カタログで構成された外部の場所。 Unity カタログ リージョンは、Azure ストレージ アカウント リージョンと同じである必要があります。
  • 明示的に定義された宛先: FQDN と Azure ストレージ アカウントがネットワーク ポリシーに一覧表示されます。

セキュリティ態勢

ネットワーク ポリシーが制限付きアクセス モードに設定されている場合、サーバーレス ワークロードからの送信ネットワーク接続は厳密に制御されます。