Restringir o acesso do destinatário do Delta Sharing usando listas de acesso IP (compartilhamento aberto)

Este artigo descreve como os provedores de dados podem atribuir listas de acesso IP para controlar o acesso dos destinatários aos dados compartilhados.

Se o senhor, como provedor de dados, estiver usando o protocolo aberto Delta Sharing, poderá limitar um destinatário a um conjunto restrito de endereços IP quando ele acessar os dados que você compartilha. Essa lista é independente das listas de acesso IP do espaço de trabalho. Somente listas de permissões são suportadas.

A lista de acesso IP afeta o seguinte:

• Delta Sharing Protocolo OSS Acesso à API REST
• Acesso ao URL de ativação do Delta Sharing
• Delta Sharing arquivo de credenciais download

Cada destinatário suporta um máximo de 100 valores de IP/CIDR, sendo que um CIDR conta como um único valor. Somente endereços IPv4 são suportados.

Atribuir uma lista de acesso IP a um destinatário

O senhor pode atribuir uma lista de acesso IP a um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog.

Permissões necessárias : se você estiver atribuindo uma lista de acesso IP ao criar um destinatário, deverá ser administrador ou usuário da metastore com o privilégio CREATE_RECIPIENT. Se você estiver atribuindo uma lista de acesso IP a um destinatário existente, deverá ser o proprietário do objeto do destinatário.

Catalog Explorer

1. Em seu site Databricks workspace, clique em Catalog .

2. Na parte superior do painel Catálogo , clique no ícone de engrenagem e selecione Delta Sharing .

   Como alternativa, na página de acesso rápido , clique no botão Delta Sharing > .

3. Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.

4. Na lista de acesso IP tab, clique em Add IP address/CIDRs para cada endereço IP (no formato de endereço IP único, como 8.8.8.8) ou intervalo de endereços IP (no formato CIDR, como 8.8.8.4/10).

CLI

Para adicionar uma lista de acesso IP ao criar um novo destinatário, execute o seguinte comando usando o botão Databricks CLIsubstituindo <recipient-name> e os valores de endereço IP.

Bash

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Para adicionar uma lista de acesso IP a um destinatário existente, execute o seguinte comando, substituindo <recipient-name> e os valores de endereço IP.

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Remover uma lista de acesso IP

O senhor pode remover a lista de acesso IP de um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog. Se você remover todos os endereços IP da lista, o destinatário poderá acessar os dados compartilhados de qualquer lugar.

Permissões necessárias : Proprietário do objeto destinatário.

Catalog Explorer

1. Em seu site Databricks workspace, clique em Catalog .

2. Na parte superior do painel Catálogo , clique no ícone de engrenagem e selecione Delta Sharing .

   Como alternativa, na página de acesso rápido , clique no botão Delta Sharing > .

3. Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.

4. Na lista de acesso IP tab, clique no ícone da lixeira ao lado do endereço IP que o senhor deseja excluir.

CLI

Use a CLI da Databricks para passar uma lista de acesso IP vazia:

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

visualizar a lista de acesso IP de um destinatário

O senhor pode view a lista de acesso IP de um destinatário usando o Catalog Explorer, o comando Databricks Unity Catalog CLI, ou o comando DESCRIBE RECIPIENT SQL em uma consulta do Notebook ou Databricks SQL.

Permissões necessárias : administrador do Metastore, usuário com o privilégio USE RECIPIENT ou proprietário do objeto destinatário.

Catalog Explorer

1. Em seu site Databricks workspace, clique em Catalog .

2. Na parte superior do painel Catálogo , clique no ícone de engrenagem e selecione Delta Sharing .

   Como alternativa, na página de acesso rápido , clique no botão Delta Sharing > .

3. Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.

4. visualizar os endereços IP permitidos na lista de acesso IP tab.

CLI

execute o seguinte comando usando o Databricks CLI.

Bash

databricks recipients get <recipient-name>

SQL

Execute o seguinte comando em um notebook ou no editor de consultas SQL do Databricks.

SQL

DESCRIBE RECIPIENT <recipient-name>;

Registro de auditoria para listas de acesso IP do Delta Sharing

As seguintes operações acionam a auditoria logs relacionada a listas de acesso IP:

• Operações de gerenciamento de destinatários: criar, atualizar
• Negação de acesso a qualquer uma das chamadas da API REST do protocolo OSS do Delta Sharing
• Negação de acesso ao URL de ativação do Delta Sharing (somente compartilhamento aberto)
• Negação de acesso ao download do arquivo de credencial do Delta Sharing (somente compartilhamento aberto)

Para saber mais sobre como ativar e ler logs de auditoria para o Delta Sharing, consulte Auditar e monitorar o compartilhamento de dados.