Настройка ограничений по IP Enterprise +
Организации могут настраивать IP‑ограничения, используя следующие Enterprise‑тарифы dbt:
- Business Critical
- Virtual Private
Чтобы узнать больше об этих уровнях, свяжитесь с нами по адресу sales@getdbt.com.
Ограничения по IP помогают контролировать, какие IP-адреса могут подключаться к dbt. Ограничения по IP позволяют клиентам dbt выполнять требования безопасности и соответствия, разрешая подключение к их среде dbt только с одобренных IP-адресов. Эта функция поддерживается во всех регионах Северной Америки, Европы и Азиатско-Тихоокеанского региона, однако свяжитесь с нами, если у вас есть вопросы о доступности.
Настройка ограничений по IP
Чтобы настроить ограничения по IP-адресам, перейдите в Account Settings → IP Restrictions. Ограничения по IP предоставляют два способа определения того, какие IP-адреса могут получать доступ к dbt: allowlist и blocklist. IP-адреса, находящиеся в allowlist, получают доступ к dbt, а IP-адреса из deny list будут заблокированы и не смогут получить доступ к dbt. Ограничения по IP можно использовать для различных сценариев, включая:
- Разрешение только трафика корпоративного VPN и блокировка всего остального трафика
- Блокировка IP-адресов, отмеченных службой безопасности
- Разрешение только VPN-трафика, но с исключением для IP-адресов подрядчиков
Ограничения по IP будут блокировать все сервисные токены, пользовательские запросы, выполненные через API (с использованием личного пользовательского токена), и интерфейс, если они поступают с заблокированных IP-адресов.
Для любых интеграций с системами контроля версий (Github, Gitlab, ADO и т. д.), которые подключаются к dbt, убедитесь, что их IP-адреса добавлены в список разрешённых.
Разрешение IP
Чтобы добавить IP в список разрешенных, на странице Ограничения по IP:
- Нажмите Изменить
- Нажмите Добавить правило
- Добавьте имя и описание для правила
- Например, Диапазон CIDR корпоративного VPN
- Выберите Разрешить
- Добавьте диапазоны в нотации CIDR
- Например, 1.1.1.1/8
- Вы можете добавить несколько диапазонов в одно правило.
- Нажмите Сохранить
Добавьте несколько диапазонов IP, нажав кнопку Добавить диапазон IP, чтобы создать новое текстовое поле.
Обратите внимание, что простое добавление диапазонов IP не будет применять ограничения по IP. Для получения дополнительной информации см. раздел Включение ограничений.
Если вы хотите разрешить доступ только для диапазонов IP-адресов, добавленных в этот список, и отклонять все остальные запросы, добавлять denylist не требуется. По умолчанию, если задан только allowlist, dbt будет разрешать доступ только для IP-адресов из допустимого диапазона и отклонять все остальные IP. Однако вы можете добавить denylist, если хотите запретить доступ для конкретных IP-адресов внутри CIDR-диапазона, указанного в allowlist.
Блокировка IP (запрет)
Если у вас есть IP-адрес(а), определенные в списке разрешенных, которые необходимо заблокировать, вы можете добавить эти диапазоны IP в список заблокированных, выполнив следующие действия:
- Нажмите Изменить
- Нажмите Добавить правило
- Добавьте имя и описание для правила
- Например, "Диапазон запрета корпоративного VPN"
- Выберите Запретить
- Добавьте диапазоны или отдельные IP-адреса в нотации CIDR
- Нажмите Сохранить
Если идентичные IP-адреса находятся как в конфигурациях разрешения, так и блокировки, то тот, который введен вторым, не будет сохранен.
Возможно поместить диапазон IP в один список, а затем поддиапазон или IP-адрес, который является его частью, в другой. Используя США (диапазон) и Нью-Йорк (поддиапазон) в качестве примера, ожидаемое поведение следующее:
- США в списке заблокированных, а Нью-Йорк в списке разрешенных - Трафик из США будет заблокирован, но IP из Нью-Йорка будут разрешены.
- США в списке разрешенных, а Нью-Йорк в списке заблокированных - Трафик из США будет разрешен, но IP из Нью-Йорка будут заблокированы.
Включение ограничений
После того как вы добавили все свои диапазоны, ограничения по IP могут быть включены, нажав кнопку Включить ограничения по IP и нажав Сохранить. Если ваш IP-адрес находится в любом из диапазонов списка заблокированных, вы не сможете сохранить или включить ограничения по IP - это сделано для предотвращения случайной блокировки аккаунта. Если вы все же оказались заблокированы из-за изменений IP с вашей стороны, пожалуйста, свяжитесь с support@getdbt.com
После включения этой настройки, если кто-то попытается получить доступ к dbt с ограниченного IP-адреса, он увидит одно из следующих сообщений в зависимости от того, использует ли он вход по email и паролю или вход через SSO.
- Для входа по email:
"Access denied! Please contact your admin for more details." - Для входа через SSO:
"Access denied! Please contact your admin for more details."на странице входа dbt
