IP アクセスリストを使用して OpenSharing 受信者アクセスを制限します（Databricks から Open sharing へ）

この記事では、データプロバイダーがIPアクセスリストを割り当てて、共有データへの受信者アクセスを制御する方法について説明します。

データ プロバイダーであるお客様がDatabricks-to-Open 共有プロトコルを使用している場合、共有するデータに受信者がアクセスする際に、IP アドレスを特定の範囲に制限できます。このリストは「ワークスペースIPアクセスリスト」とは独立しています。許可リストのみがサポートされています。

IP アクセス リストは次に影響します。

• オープン共有 OSS プロトコル REST API アクセス
• オープン共有有効化 URL アクセス
• OpenSharing 認証情報ファイル ダウンロード

各受信者は最大100個のIP/CIDR値をサポートし、1つのCIDRは1つの値としてカウントされます。IPv4アドレスのみがサポートされています。

受信者に IP アクセスリストを割り当てる

IP アクセスリストは、カタログエクスプローラ または Databricks Unity Catalog CLI を使用して、受信者に割り当てることができます。

必要な権限 : 受信者の作成時にIPアクセスリストを割り当てる場合、CREATE RECIPIENT権限が必要です。既存の受信者にIPアクセスリストを割り当てる場合、受信者オブジェクトの所有者である必要があります。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。

2. カタログ ウィンドウの上部にある歯車アイコンをクリックし、 OpenSharing を選択します。

   または、右上隅の Share > OpenSharing をクリックします。

3. 自分が共有 タブで、 受信者 をクリックし、受信者を選択します。

4. 「**IP アクセスリスト**」タブで、「**IP アドレス/CIDR の追加**」をクリックして、各 IP アドレス（8.8.8.8 のような単一 IP アドレス形式）または IP アドレスの範囲（8.8.8.4/10 のような CIDR 形式）を追加します。

CLI

新しい受信者を作成する際にIPアクセスリストを追加するには、<recipient-name>とIPアドレスの値を置き換えて、Databricks CLIを使用して次のコマンドを実行します。

Bash

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

既存の受信者にIPアクセスリストを追加するには、次のコマンドを実行し、<recipient-name>とIPアドレスの値を置き換えます。

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

IP アクセス リストを削除する

受信者の IP アクセスリストは、カタログエクスプローラ または Databricks Unity Catalog CLI を使用して削除できます。リストからすべての IP アドレスを削除すると、受信者はどこからでも共有データにアクセスできるようになります。

必要なアクセス許可 : 受信者オブジェクトの所有者。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。

2. カタログ ウィンドウの上部にある歯車アイコンをクリックし、 OpenSharing を選択します。

   または、右上隅の Share > OpenSharing をクリックします。

3. 自分が共有 タブで、 受信者 をクリックし、受信者を選択します。

4. IPアクセスリスト タブで、削除するIPアドレスの横にあるゴミ箱アイコンをクリックします。

CLI

Databricks CLIを使用して空のIPアクセスリストを渡します：

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

受信者のIPアクセスリストを表示する

受信者の IP アクセスリストは、カタログエクスプローラ、Databricks Unity Catalog CLI、またはノートブックや Databricks SQL クエリの DESCRIBE RECIPIENT SQL コマンドを使用して表示できます。

必要な権限 ：メタストア管理者、USE RECIPIENT権限を持つユーザー、または受信者オブジェクト所有者。

Catalog Explorer

1. Databricks ワークスペースで、 カタログ をクリックします。

2. カタログ ウィンドウの上部にある歯車アイコンをクリックし、 OpenSharing を選択します。

   または、右上隅の Share > OpenSharing をクリックします。

3. 自分が共有 タブで、 受信者 をクリックし、受信者を選択します。

4. IPアクセスリスト タブで許可されたIPアドレスを表示します。

CLI

Databricks CLI を使用して、次のコマンドを実行します。

Bash

databricks recipients get <recipient-name>

SQL

ノートブックまたはDatabricks SQLクエリーエディタで次のコマンドを実行します。

SQL

DESCRIBE RECIPIENT <recipient-name>;

OpenSharing IP アクセス リストの監査ロギング

次の操作により、IP アクセスリストに関連する監査ログがトリガーされます：

• 受信者の管理操作：作成、更新
• OpenSharing OSS Protocol のいずれかの REST API 呼び出しに対するアクセス拒否
• OpenSharingアクティベーションURLへのアクセス拒否 (Databricksからオープン共有への共有のみ)
• OpenSharing 資格情報ファイルのダウンロードに対するアクセス拒否（DatabricksとOpen Sharingとの共有のみ）

OpenSharing の監査ログを有効にして読み取る方法の詳細については、データ共有の監査と監視を参照してください。