Restringir o acesso do destinatário do Delta Sharing usando listas de acesso IP (compartilhamento aberto)

Este artigo descreve como os provedores de dados podem atribuir listas de acesso IP para controlar o acesso dos destinatários aos dados compartilhados.

Se o senhor, como provedor de dados, estiver usando o protocolo aberto Delta Sharing, poderá limitar um destinatário a um conjunto restrito de endereços IP quando ele acessar os dados que você compartilha. Essa lista é independente das listas de acesso IP do espaço de trabalho. Somente listas de permissões são suportadas.

A lista de acesso IP afeta o seguinte:

• Delta Sharing Protocolo OSS Acesso à API REST
• Acesso ao URL de ativação do Delta Sharing
• Delta Sharing arquivo de credenciais download

Cada destinatário suporta um máximo de 100 valores de IP/CIDR, sendo que um CIDR conta como um único valor. Somente endereços IPv4 são suportados.

Atribuir uma lista de acesso IP a um destinatário

O senhor pode atribuir uma lista de acesso IP a um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog.

Permissões necessárias : se você estiver atribuindo uma lista de acesso IP ao criar um destinatário, deverá ser administrador ou usuário da metastore com o privilégio CREATE_RECIPIENT. Se você estiver atribuindo uma lista de acesso IP a um destinatário existente, deverá ser o proprietário do objeto do destinatário.

Catalog Explorer

1. In your Databricks workspace, click Catalog.

2. At the top of the Catalog pane, click the gear icon and select Delta Sharing.

   Alternatively, from the Quick access page, click the Delta Sharing > button.

3. On the Shared by me tab, click Recipients and select the recipient.

4. On the IP access list tab, click Add IP address/CIDRs for each IP address (in single IP address format, like 8.8.8.8) or range of IP addresses (in CIDR format, like 8.8.8.4/10).

CLI

To add an IP access list when you create a new recipient, run the following command using the Databricks CLI, replacing <recipient-name> and the IP address values.

Bash

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

To add an IP access list to an existing recipient, run the following command, replacing <recipient-name> and the IP address values.

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Remover uma lista de acesso IP

O senhor pode remover a lista de acesso IP de um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog. Se você remover todos os endereços IP da lista, o destinatário poderá acessar os dados compartilhados de qualquer lugar.

Permissões necessárias : Proprietário do objeto destinatário.

Catalog Explorer

1. In your Databricks workspace, click Catalog.

2. At the top of the Catalog pane, click the gear icon and select Delta Sharing.

   Alternatively, from the Quick access page, click the Delta Sharing > button.

3. On the Shared by me tab, click Recipients and select the recipient.

4. On the IP access list tab, click the trash can icon next to the IP address you want to delete.

CLI

Use the Databricks CLI to pass in an empty IP access list:

Bash

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

visualizar a lista de acesso IP de um destinatário

O senhor pode view a lista de acesso IP de um destinatário usando o Catalog Explorer, o comando Databricks Unity Catalog CLI, ou o comando DESCRIBE RECIPIENT SQL em uma consulta do Notebook ou Databricks SQL.

Permissões necessárias : administrador do Metastore, usuário com o privilégio USE RECIPIENT ou proprietário do objeto destinatário.

Catalog Explorer

1. In your Databricks workspace, click Catalog.

2. At the top of the Catalog pane, click the gear icon and select Delta Sharing.

   Alternatively, from the Quick access page, click the Delta Sharing > button.

3. On the Shared by me tab, click Recipients and select the recipient.

4. View allowed IP addresses on the IP access list tab.

CLI

Run the following command using the Databricks CLI.

Bash

databricks recipients get <recipient-name>

SQL

Run the following command in a notebook or the Databricks SQL query editor.

SQL

DESCRIBE RECIPIENT <recipient-name>;

Registro de auditoria para listas de acesso IP do Delta Sharing

As seguintes operações acionam a auditoria logs relacionada a listas de acesso IP:

• Operações de gerenciamento de destinatários: criar, atualizar
• Negação de acesso a qualquer uma das chamadas da API REST do protocolo OSS do Delta Sharing
• Negação de acesso ao URL de ativação do Delta Sharing (somente compartilhamento aberto)
• Negação de acesso ao download do arquivo de credencial do Delta Sharing (somente compartilhamento aberto)

Para saber mais sobre como ativar e ler logs de auditoria para o Delta Sharing, consulte Auditar e monitorar o compartilhamento de dados.