基于上下文的入口控件

本页概述了基于上下文的入口控件。 有关无服务器出口控件，请参阅 什么是无服务器出口控件？。

若要配置入口策略，请参阅 管理基于上下文的入口策略。

基于上下文的入口控件概述

基于上下文的入口控制可与 IP 访问列表和前端专用连接配合使用，使账户管理员能够设置允许规则和拒绝规则，将在 Azure Databricks 中发起访问的主体、发起访问的位置以及他们可以访问的资源结合起来。 这可确保只有受信任的标识、请求类型和网络源组合能访问您的工作区。 上下文基于的入口控制是在帐户级别配置的。 单个策略可以控制多个工作区。

使用基于上下文的入口，可以：

• 除了凭据之外，还要求使用第二个因素（受信任的网络源）来停止从不受信任的网络进行访问。
• 允许对没有稳定出口 IP 的 SaaS 客户端，通过识别标识而不是 IP 范围来进行访问。
• 限制访问，方法是仅允许可信度较低的源使用某些特定权限范围，例如 Azure Databricks API 或工作区 UI。
• 保护特权自动化：仅将高价值服务主体限制为高信任网络。
• 有效审核：捕获 Unity 目录系统表中的详细拒绝日志，以监视阻止的请求。

基于上下文的入口控制核心概念

网络源

网络源定义请求的源。 支持的类型包括：

• 所有公共 IP：任何公共 Internet 源。
• 所选 IP：特定的 IPv4 地址或 CIDR 范围。

访问类型

规则适用于不同的传入请求范围。 每个范围表示一个可以允许或拒绝的传入请求类别：

• 工作区 UI：浏览器访问工作区。
• API：通过 Azure Databricks API 进行编程访问，包括 SQL 终结点 (JDBC/ODBC)。 可以面向所有 API 或特定 API 范围，例如仪表板。

标识

规则可以面向不同的身份标识类型。 对于 应用 和 Lakebase 计算 访问类型，唯一支持的选项是 “所有用户和服务主体”。

• 所有用户和服务主体：包括人工用户和自动化用户。
• 所有用户：仅限人类用户。
• 所有服务主体：仅自动化标识。
• 所选标识：管理员选择的特定用户或服务主体。

规则评估

• 默认拒绝：在受限模式下，除非显式允许，否则将拒绝访问。
• 允许前拒绝：拒绝规则允许定义允许规则的例外。
• 默认策略：每个帐户都有一个应用于所有符合条件的工作区的默认入口策略，无需显式策略分配。

实施模式

基于上下文的入口策略启用两种模式：

• 对所有产品强制实施：Azure Databricks 会主动执行规则并阻止违规请求。
• 适用于所有产品的试运行模式：Azure Databricks 会记录违规行为，但不会阻止请求。 使用此模式在强制实施之前评估策略影响。

Auditing

拒绝或干运行请求记录在系统表system.access.inbound_network中。 每个日志条目包括：

• 事件时间
• 工作区 ID
• 请求类型
• 身份
• 网络源
• 访问类型（拒绝或DRY_RUN_DENIAL）

查询这些日志，以验证您的规则是否如预期生效，并发现意外的访问尝试。

与其他控件的关系

• 工作区 IP 访问列表：在基于上下文的入口策略允许请求之前进行评估。 双方都必须允许请求。 工作区 IP 访问列表可以进一步缩小访问权限范围，但不能将其扩大。

• 无服务器出口控制：通过控制来自无服务器计算的出站网络流量来补充入口策略。 请参阅 “管理网络策略”。

• 前端专用连接：在 “允许公用网络访问”启用时，与入口策略一同被强制执行。 如果禁用“允许公用网络访问”，则会阻止所有公共入口，并且不会评估入口策略。 请参阅 配置入站专用链接。

最佳做法

• 从 干运行模式 开始，观察没有中断访问的影响。
• 尽可能对轮换 IP 的 SaaS 客户端使用 基于标识的规则 。
• 首先将 拒绝规则 应用于特权服务主体，以限制受影响的区域。
• 保持策略名称清晰且一致。