IPアクセスリストを使用して Delta Sharing 受信者のアクセスを制限する(オープン共有)

この記事では、データ プロバイダーが IP アクセス リストを割り当てて、共有データへの受信者のアクセスを制御する方法について説明します。

データ プロバイダーとして オープンな Delta Sharing プロトコルを使用している場合は、共有するデータにアクセスする受信者を制限された IP アドレスのセットに制限できます。 このリストは、 ワークスペースの IP アクセスリストとは無関係です。 許可リストのみがサポートされています。

IPアクセスリストは次のことに影響します。

• Delta Sharing OSS プロトコル REST API アクセス
• Delta Sharing のアクティブ化 URL アクセス
• Delta Sharing 資格情報ファイルのダウンロード

各受信者は最大 100 個の IP/CIDR 値をサポートし、1 つの CIDR は 1 つの値としてカウントされます。 IPv4 アドレスのみがサポートされています。

受信者への IP アクセス リストの割り当て

IP アクセスリストは、Catalog Explorer または Databricks Unity Catalog CLI を使用して、受信者に割り当てることができます。

必要な権限 ：受信者を作成するときにIPアクセスリストを割り当てる場合は、メタストアの管理者または CREATE_RECIPIENT 権限を持つユーザーである必要があります。 IPアクセスリストを既存の受信者に割り当てる場合は、受信者オブジェクトの所有者である必要があります。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。

2. [カタログ ] ウィンドウの上部にある [] 歯車アイコンをクリックし、[ Delta Sharing ] を選択します。

   または、[ クイック アクセス ] ページで [Delta Sharing > ] ボタンをクリックします。

3. [ 自分が共有] タブで、[ 受信者 ] をクリックし、受信者を選択します。

4. [ IP アクセス リスト ] タブで、各 IP アドレス (8.8.8.8 などの 1 つの IP アドレス形式) または IP アドレスの範囲 (8.8.8.4/10 などの CIDR 形式) の [IP アドレス/CIDR の追加 ] をクリックします。

CLI

新しい受信者を作成するときに IP アクセス リストを追加するには、 Databricks CLI を使用して次のコマンドを実行し、 <recipient-name> と IP アドレスの値を置き換えます。

Bash

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

既存の受信者に IP アクセス リストを追加するには、次のコマンドを実行し、 <recipient-name> と IP アドレスの値を置き換えます。

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

IP アクセス リストの削除

受信者の IP アクセスリストは、Catalog Explorer または Databricks Unity Catalog CLI を使用して削除できます。リストからすべての IP アドレスを削除すると、受信者はどこからでも共有データにアクセスできるようになります。

必要な権限 : 受信者オブジェクトの所有者。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。

2. [カタログ ] ウィンドウの上部にある [] 歯車アイコンをクリックし、[ Delta Sharing ] を選択します。

   または、[ クイック アクセス ] ページで [Delta Sharing > ] ボタンをクリックします。

3. [ 自分が共有] タブで、[ 受信者 ] をクリックし、受信者を選択します。

4. [IPアクセスリスト ]タブで、削除するIPアドレスの横にあるゴミ箱アイコンをクリックします。

CLI

Databricks CLI を使用して、空の IP アクセス リストを渡します。

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

受信者のIPアクセスリストを表示する

受信者の IP アクセスリストは、Catalog Explorer、Databricks Unity Catalog CLI、またはノートブックや Databricks SQL クエリの DESCRIBE RECIPIENT SQL コマンドを使用して表示できます。

必要な権限 : メタストア管理者、 USE RECIPIENT 権限を持つユーザー、または受信者オブジェクトの所有者。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。

2. [カタログ ] ウィンドウの上部にある [] 歯車アイコンをクリックし、[ Delta Sharing ] を選択します。

   または、[ クイック アクセス ] ページで [Delta Sharing > ] ボタンをクリックします。

3. [ 自分が共有] タブで、[ 受信者 ] をクリックし、受信者を選択します。

4. [IP アクセス リスト ] タブで許可された IP アドレスを表示します。

CLI

Databricks CLI を使用して次のコマンドを実行します。

Bash

databricks recipients get <recipient-name>

SQL

ノートブックまたはDatabricks SQLクエリーエディタで次のコマンドを実行します。

SQL

DESCRIBE RECIPIENT <recipient-name>;

Delta Sharing IP アクセス リストの監査ログ

次の操作は、IP アクセス リストに関連する監査ログをトリガーします。

• 受信者管理操作：作成、更新
• Delta Sharing OSS プロトコル REST API 呼び出しへのアクセスの拒否
• Delta Sharing のアクティブ化 URL へのアクセスの拒否 (オープン共有のみ)
• Delta Sharing 資格情報ファイルのダウンロードへのアクセスの拒否 (オープン共有のみ)

Delta Sharing の監査ログを有効にして読み取る方法の詳細については、「 データ共有の監査と監視」を参照してください。