IPアクセスリストを使用して Delta Sharing 受信者のアクセスを制限する(オープン共有)

この記事では、データ プロバイダーが IP アクセス リストを割り当てて、共有データへの受信者のアクセスを制御する方法について説明します。

データ プロバイダーとして オープンな Delta Sharing プロトコルを使用している場合は、共有するデータにアクセスする受信者を制限された IP アドレスのセットに制限できます。 このリストは、 ワークスペースの IP アクセスリストとは無関係です。 許可リストのみがサポートされています。

IPアクセスリストは次のことに影響します。

• Delta Sharing OSS プロトコル REST API アクセス
• Delta Sharing のアクティブ化 URL アクセス
• Delta Sharing 資格情報ファイルのダウンロード

各受信者は最大 100 個の IP/CIDR 値をサポートし、1 つの CIDR は 1 つの値としてカウントされます。 IPv4 アドレスのみがサポートされています。

受信者への IP アクセス リストの割り当て

IP アクセスリストは、Catalog Explorer または Databricks Unity Catalog CLI を使用して、受信者に割り当てることができます。

必要な権限 ：受信者を作成するときにIPアクセスリストを割り当てる場合は、メタストアの管理者または CREATE_RECIPIENT 権限を持つユーザーである必要があります。 IPアクセスリストを既存の受信者に割り当てる場合は、受信者オブジェクトの所有者である必要があります。

Catalog Explorer

1. In your Databricks workspace, click Catalog.

2. At the top of the Catalog pane, click the gear icon and select Delta Sharing.

   Alternatively, from the Quick access page, click the Delta Sharing > button.

3. On the Shared by me tab, click Recipients and select the recipient.

4. On the IP access list tab, click Add IP address/CIDRs for each IP address (in single IP address format, like 8.8.8.8) or range of IP addresses (in CIDR format, like 8.8.8.4/10).

CLI

To add an IP access list when you create a new recipient, run the following command using the Databricks CLI, replacing <recipient-name> and the IP address values.

Bash

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

To add an IP access list to an existing recipient, run the following command, replacing <recipient-name> and the IP address values.

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

IP アクセス リストの削除

受信者の IP アクセスリストは、Catalog Explorer または Databricks Unity Catalog CLI を使用して削除できます。 リストからすべての IP アドレスを削除すると、受信者はどこからでも共有データにアクセスできるようになります。

必要な権限 : 受信者オブジェクトの所有者。

Catalog Explorer

1. In your Databricks workspace, click Catalog.

2. At the top of the Catalog pane, click the gear icon and select Delta Sharing.

   Alternatively, from the Quick access page, click the Delta Sharing > button.

3. On the Shared by me tab, click Recipients and select the recipient.

4. On the IP access list tab, click the trash can icon next to the IP address you want to delete.

CLI

Use the Databricks CLI to pass in an empty IP access list:

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

受信者のIPアクセスリストを表示する

受信者の IP アクセスリストは、Catalog Explorer、Databricks Unity Catalog CLI、またはノートブックや Databricks SQL クエリの DESCRIBE RECIPIENT SQL コマンドを使用して表示できます。

必要な権限 : メタストア管理者、 USE RECIPIENT 権限を持つユーザー、または受信者オブジェクトの所有者。

Catalog Explorer

1. In your Databricks workspace, click Catalog.

2. At the top of the Catalog pane, click the gear icon and select Delta Sharing.

   Alternatively, from the Quick access page, click the Delta Sharing > button.

3. On the Shared by me tab, click Recipients and select the recipient.

4. View allowed IP addresses on the IP access list tab.

CLI

Run the following command using the Databricks CLI.

Bash

databricks recipients get <recipient-name>

SQL

Run the following command in a notebook or the Databricks SQL query editor.

SQL

DESCRIBE RECIPIENT <recipient-name>;

Delta Sharing IP アクセス リストの監査ログ

次の操作は、IP アクセス リストに関連する監査ログをトリガーします。

• 受信者管理操作：作成、更新
• Delta Sharing OSS プロトコル REST API 呼び出しへのアクセスの拒否
• Delta Sharing のアクティブ化 URL へのアクセスの拒否 (オープン共有のみ)
• Delta Sharing 資格情報ファイルのダウンロードへのアクセスの拒否 (オープン共有のみ)

Delta Sharing の監査ログを有効にして読み取る方法の詳細については、「 データ共有の監査と監視」を参照してください。