Manage private access settings | Databricks on AWS [2023/6/1時点]の翻訳です。
本書は抄訳であり内容の正確性を保証するものではありません。正確な内容に関しては原文を参照ください。
本書は、E2バージョンのDatabricksプラットフォームのアカウントでのみ利用できるプロセスを説明します。すべての新規Databricksアカウントやほとんどの既存アカウントはE2です。使用しているアカウントのタイプがわからない場合には、Databricks担当者にお問い合わせください。
本書では、AWS PrivateLinkの有効化の過程で必要となるオブジェクトであるプライベートアクセス設定オブジェクトの作成方法を説明します。本書には、あなたのワークスペースでPrivateLinkを有効化する際に必要なすべての情報を含んでいるわけではありません。VPCエンドポイント登録やネットワーク設定オブジェクトの作成を含むすべての要件とステップに関しては、DatabricksにおけるAWS PrivateLinkの有効化をご覧ください。
以下の関連セクションでは、既存のネットワークや設定オブジェクトの更新について議論しています:
プライベートアクセス設定オブジェクトとは?
プライベートアクセス設定オブジェクトは、ワークスペースにおけるPrivateLink接続を記述するDatabricksオブジェクトです。このワークスペース向けに新規にプライベートアクセス設定オブジェクトを作成するか、複数ワークスペースで既存のプライベートアクセス設定オブジェクトを再利用、共有することができますが、それらのワークスペースは同じAWSリージョンに存在する必要があります。
このオブジェクトにはいくつかの目的があります:
- あなたのワークスペースにおけるAWS PrivateLinkの用途を表現する。
- AWS PrivateLinkの公衆ネットワークアクセスに関するフロントエンドユースケースの設定を含める。
- あなたのワークスペースにどのVPCエンドポイントのアクセスを許可するのかをコントロールする。
アカウントコンソール、あるいはAccount APIを用いて、プライベートアクセス設定オブジェクトを作成します。ワークスペースを作成する際に一連のフィールドでこれを参照します。別のプライベートアクセス設定オブジェクトを指すようにワークスペースをアップデートすることができますが、PrivateLinkを使うには、ワークスペース作成時にワークスペースにプライベートアクセス設定オブジェクトをアタッチしなくてはなりません。
プライベートアクセス設定オブジェクトの作成
注意
この手順では、新規ワークスペースを作成する前にアカウントコンソールのCloud resourcesページからプライベートアクセス設定オブジェクトを作成する方法を説明します。新規ワークスペースを作成するフローの一部で同様の手順でプライベートアクセス設定オブジェクトを作成することができ、ピッカーで既存オブジェクトを選択するのではなく、Add a new private access objectを選択することができます。Create a workspace using the account consoleをご覧ください。
- アカウントコンソールでCloud resourcesをクリックします。
- 水平タブでNetworkをクリックします。
- 垂直タブでPrivate access settingsをクリックします。
-
Add private access settingsをクリックします。
- 新規プライベートアクセス設定オブジェクトの名前を入力します。
- リージョンでは、ワークスペースと同じリージョンを指定するようにしてください。さもないと、検証を通過せず、ワークスペースのデプロイメントが失敗します。ワークスペースを実際に作成する際にのみ、この検証は行われます。
- フロントエンド接続(webアプリケーションとREST API)の公衆アクセスを設定するPublic access enabledを設定します。
- False(デフォルト)に設定すると、フロントエンド接続はPrivateLink経由でのみアクセス可能となり、公衆インターネットからは接続できません。公衆アクセスが無効化されている場合、IP access lists for workspacesはサポートされません。
- Trueに設定すると、フロントエンド接続にはPrivateLink接続や公衆インターネットから接続できます。すべてのIPアクセスリストは公衆インターネットからの接続のみを制限しますが、PrivateLink接続からのトラフィックは制限しません。
- あなたのワークスペースにどのVPCエンドポイントが接続できるのかを最も適切に表現する値をPrivate Access Levelに設定します。
- あなたのDatabricksアカウントに登録されているVPCエンドポイントに接続を制限するにはAccountを設定します。
- 表示されるフィールドに入力できるVPCエンドポイントのセットに明示的に接続を制限するにはEndpointを設定します。これによって、すでに作成したVPCエンドポイント登録を選択することができます。フロントエンドVPC登録を作成している場合には、それを含めるようにしてください。
- Addをクリックします。
プライベートアクセス設定オブジェクトの更新
プライベートアクセス設定オブジェクトのフィールドを更新するには:
-
アカウントコンソールでCloud resourcesをクリックします。
-
水平タブでNetworkをクリックします。
-
垂直タブでPrivate access settingsをクリックします。
-
設定の行で、右側のケバブメニュー1. アカウントコンソールでCloud resourcesをクリックします。
-
水平タブでNetworkをクリックします。
-
垂直タブでPrivate access settingsをクリックします。
-
設定行で、右側のケバブメニューをクリックし
、Updateを選択します。 -
フィールドを更新します。特定のフィールドのガイドについては、プライベートアクセス設定オブジェクトの作成をご覧ください。
注意
プライベートアクセスレベルANYは非推奨です。オブジェクトに以前この値が設定されており、プライベートアクセス設定オブジェクトのフィールドを更新する際に、アカウントコンソールを使用する場合、プライベートアクセスレベルを推奨の値に設定しなくてはなりません。この時点でプライベートアクセスレベルANYを変更したくない場合には、Account APIを使ってください。AWS PrivateLink private access level ANY is deprecatedをご覧ください。 -
Update private access settingをクリックします。
プライベートアクセス設定オブジェクトの削除
作成後にプライベートアクセス設定オブジェクトを変更することはできません。設定に不正なデータが含まれている、あるいはすべてのワークスペースで不要となったら削除してください:
- アカウントコンソールでCloud resourcesをクリックします。
- Networkをクリックします。
- 垂直タブでPrivate access settingsをクリックします。
- 設定行で、右側のケバブメニューをクリックし、Deleteを選択します。
- 確認ダイアログでConfirm Deleteをクリックします。