IP アクセスリストを使用して OpenSharing 受信者アクセスを制限します（Databricks から Open sharing へ）

この記事では、データ プロバイダーが IP アクセス リストを割り当てて、共有データへの受信者のアクセスを制御する方法について説明します。

データ プロバイダーであるお客様がDatabricks-to-Open 共有プロトコルを使用している場合、共有するデータに受信者がアクセスする際に、IP アドレスを特定の範囲に制限できます。このリストは「ワークスペースIPアクセスリスト」とは独立しています。許可リストのみがサポートされています。

IPアクセスリストは次のことに影響します。

• オープン共有 OSS プロトコル REST API アクセス
• オープン共有有効化 URL アクセス
• OpenSharing 認証情報ファイル ダウンロード

各受信者は最大 100 個の IP/CIDR 値をサポートし、1 つの CIDR は 1 つの値としてカウントされます。 IPv4 アドレスのみがサポートされています。

受信者への IP アクセス リストの割り当て

IP アクセスリストは、カタログエクスプローラ または Databricks Unity Catalog CLI を使用して、受信者に割り当てることができます。

必要な権限 : 受信者を作成するときに IP アクセス リストを割り当てる場合は、 CREATE RECIPIENT権限が必要です。既存の受信者に IP アクセス リストを割り当てる場合は、受信者オブジェクトの所有者である必要があります。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。

2. カタログ ウィンドウの上部にある歯車アイコンをクリックし、 OpenSharing を選択します。

   または、右上隅の Share > OpenSharing をクリックします。

3. [ 自分が共有] タブで、[ 受信者 ] をクリックし、受信者を選択します。

4. [ IP アクセス リスト ] タブで、各 IP アドレス (8.8.8.8 などの 1 つの IP アドレス形式) または IP アドレスの範囲 (8.8.8.4/10 などの CIDR 形式) の [IP アドレス/CIDR の追加 ] をクリックします。

CLI

新しい受信者を作成するときに IP アクセス リストを追加するには、 Databricks CLI を使用して次のコマンドを実行し、 <recipient-name> と IP アドレスの値を置き換えます。

Bash

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

既存の受信者に IP アクセス リストを追加するには、次のコマンドを実行し、 <recipient-name> と IP アドレスの値を置き換えます。

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

IP アクセス リストの削除

受信者の IP アクセスリストは、カタログエクスプローラ または Databricks Unity Catalog CLI を使用して削除できます。リストからすべての IP アドレスを削除すると、受信者はどこからでも共有データにアクセスできるようになります。

必要な権限 : 受信者オブジェクトの所有者。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。

2. カタログ ウィンドウの上部にある歯車アイコンをクリックし、 OpenSharing を選択します。

   または、右上隅の Share > OpenSharing をクリックします。

3. [ 自分が共有] タブで、[ 受信者 ] をクリックし、受信者を選択します。

4. [IPアクセスリスト ]タブで、削除するIPアドレスの横にあるゴミ箱アイコンをクリックします。

CLI

Databricks CLI を使用して、空の IP アクセス リストを渡します。

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

受信者のIPアクセスリストを表示する

受信者の IP アクセスリストは、カタログエクスプローラ、Databricks Unity Catalog CLI、またはノートブックや Databricks SQL クエリの DESCRIBE RECIPIENT SQL コマンドを使用して表示できます。

必要な権限 : メタストア管理者、 USE RECIPIENT 権限を持つユーザー、または受信者オブジェクトの所有者。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。

2. カタログ ウィンドウの上部にある歯車アイコンをクリックし、 OpenSharing を選択します。

   または、右上隅の Share > OpenSharing をクリックします。

3. [ 自分が共有] タブで、[ 受信者 ] をクリックし、受信者を選択します。

4. [IP アクセス リスト ] タブで許可された IP アドレスを表示します。

CLI

Databricks CLI を使用して次のコマンドを実行します。

Bash

databricks recipients get <recipient-name>

SQL

ノートブックまたはDatabricks SQLクエリーエディタで次のコマンドを実行します。

SQL

DESCRIBE RECIPIENT <recipient-name>;

OpenSharing IP アクセス リストの監査ロギング

次の操作は、IP アクセス リストに関連する監査ログをトリガーします。

• 受信者管理操作：作成、更新
• OpenSharing OSS Protocol のいずれかの REST API 呼び出しに対するアクセス拒否
• OpenSharingアクティベーションURLへのアクセス拒否 (Databricksからオープン共有への共有のみ)
• OpenSharing 資格情報ファイルのダウンロードに対するアクセス拒否（DatabricksとOpen Sharingとの共有のみ）

OpenSharing の監査ログを有効にして読み取る方法の詳細については、 「データ共有の監査と監視」を参照してください。