Restringir o acesso do destinatário do OpenSharing usando listas de acesso IP (compartilhamento Databricks-para-OpenSharing)

Este artigo descreve como os provedores de dados podem atribuir listas de acesso IP para controlar o acesso do destinatário aos dados compartilhados.

Caso um provedor de dados utilize o protocolo de compartilhamento Databricks-to-Open, é possível limitar um destinatário a um conjunto restrito de endereços IP ao acessar os dados compartilhados. Esta lista é independente de listas de acesso IP do workspace. Somente listas de permissões têm suporte.

A lista de acesso IP afeta o seguinte:

• Acesso à API REST do Protocolo OSS OpenSharing
• Acesso à URL de ativação do OpenSharing
• Download do arquivo de credenciais do OpenSharing

nota

Quando o provedor tem o SecureConnect habilitado, a lista de acesso IP também impõe o acesso ao armazenamento de dados compartilhado. Sem o SecureConnect, as URLs de armazenamento são acessíveis a partir de qualquer IP de cliente, independentemente da lista de acesso IP.

Cada destinatário suporta um máximo de 100 valores de IP/CIDR, onde um CIDR conta como um único valor. Somente endereços IPv4 são aceitos.

Atribuir uma lista de acesso IP a um destinatário

Você pode atribuir uma lista de acesso IP a um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog.

Permissões necessárias : Se estiver atribuindo uma lista de acesso IP ao criar um destinatário, é necessário ter o privilégio CREATE RECIPIENT. Se estiver atribuindo uma lista de acesso IP a um destinatário existente, é necessário ser o proprietário do objeto do destinatário.

Catalog Explorer

1. No seu Databricks workspace, clique em Catálogo .

2. No topo do painel Catálogo , clique no ícone de engrenagem e selecione OpenSharing .

   Alternativamente, no canto superior direito, clique em **Share > OpenSharing**.

3. Na tab **Compartilhado por mim**, clique em **Destinatários** e selecione o destinatário.

4. Na guia Lista de acesso IP , clique em Adicionar endereço IP/CIDRs para cada endereço IP (no formato de endereço IP único, como 8.8.8.8) ou intervalo de endereços IP (no formato CIDR, como 8.8.8.4/10).

CLI

Para adicionar uma lista de acesso IP ao criar um novo destinatário, execute o seguinte comando usando a CLI do Databricks, substituindo <recipient-name> e os valores do endereço IP.

Bash

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Para adicionar uma lista de acesso de IP a um destinatário existente, execute o seguinte comando, substituindo <recipient-name> e os valores do endereço IP.

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Remover uma lista de acesso IP

Você pode remover a lista de acesso IP de um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog. Se você remover todos os endereços IP da lista, o destinatário poderá acessar os dados compartilhados de qualquer lugar.

**Permissões necessárias**: Proprietário do objeto destinatário.

Catalog Explorer

1. No seu Databricks workspace, clique em Catálogo .

2. No topo do painel Catálogo , clique no ícone de engrenagem e selecione OpenSharing .

   Alternativamente, no canto superior direito, clique em **Share > OpenSharing**.

3. Na tab **Compartilhado por mim**, clique em **Destinatários** e selecione o destinatário.

4. Na tab **Lista de acesso de IPs**, clique no ícone da lixeira ao lado do endereço IP que você deseja excluir.

CLI

Use a Databricks CLI para transmitir uma lista de acesso IP vazia:

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Visualizar a lista de acesso IP de um destinatário

Você pode visualizar a lista de acesso IP de um destinatário usando o Catalog Explorer, a CLI do Databricks Unity Catalog, ou o comando SQL DESCRIBE RECIPIENT em um Notebook ou consulta do Databricks SQL.

Permissões necessárias : Administrador do Metastore, usuário com o privilégio USE RECIPIENT ou o proprietário do objeto destinatário.

Catalog Explorer

1. No seu Databricks workspace, clique em Catálogo .

2. No topo do painel Catálogo , clique no ícone de engrenagem e selecione OpenSharing .

   Alternativamente, no canto superior direito, clique em **Share > OpenSharing**.

3. Na tab **Compartilhado por mim**, clique em **Destinatários** e selecione o destinatário.

4. Ver endereços IP permitidos na tab **Lista de acesso de IPs**.

CLI

Execute o seguinte comando usando a CLI do Databricks.

Bash

databricks recipients get <recipient-name>

SQL

Execute o seguinte comando em um notebook ou no editor de consultas SQL do Databricks.

SQL

DESCRIBE RECIPIENT <recipient-name>;

Registro de auditoria para Listas de acesso IP do OpenSharing

As seguintes operações acionam logs de auditoria relacionados às listas de acesso IP:

• Operações de gerenciamento de destinatários: criar, atualizar
• Negação de acesso a qualquer uma das chamadas da API REST do Protocolo OpenSharing OSS
• Negação de acesso à URL de ativação do OpenSharing (somente compartilhamento Databricks-para-Open)
• Negação de acesso ao download do arquivo de credenciais do OpenSharing (somente compartilhamento do Databricks para Open)

Para saber mais sobre como habilitar e ler logs de auditoria para o OpenSharing, consulte Auditar e monitorar o compartilhamento de dados.