IP アクセス リストを使用してDelta Sharing受信者のアクセスを制限する (オープン共有)

この記事では、データ プロバイダーが IP アクセス リストを割り当てて、共有データへの受信者のアクセスを制御する方法について説明します。

データ プロバイダーとしてオープンな Delta Sharing プロトコルを使用している場合は、受信者が共有するデータにアクセスするときに、制限された IP アドレスのセットに制限できます。 このリストは、 ワークスペースの IP アクセス リストとは無関係です。 許可リストのみがサポートされています。

IP アクセス リストは、次のものに影響します。

  • Delta Sharing OSS プロトコル REST API アクセス

  • アクティベーション URL アクセスDelta Sharing

  • Delta Sharing 資格情報ファイルのダウンロード

各受信者は最大 100 個の IP/CIDR 値をサポートし、1 つの CIDR は 1 つの値としてカウントされます。 IPv4 アドレスのみがサポートされています。

受信者 に IP アクセス リストを割り当てる

IP アクセス リストは、カタログ エクスプローラーまたは Databricks Unity Catalog CLI を使用して受信者に割り当てることができます。

必要なアクセス許可: 受信者を作成するときに IP アクセス リストを割り当てる場合は、メタストア管理者または CREATE_RECIPIENT 特権を持つユーザーである必要があります。 既存の受信者に IP アクセス リストを割り当てる場合は、受信者オブジェクトの所有者である必要があります。

  1. Databricks ワークスペースで、[カタログ アイコン カタログ] をクリックします 。

  2. 左側のウィンドウで、[ Delta Sharing ] メニューを展開し、[ 自分が共有] を選択します。

  3. [ 受信者] タブで、受信者を選択します。

  4. [IP アクセス・リスト ] タブで、各 IP アドレス (8.8.8.8 などの単一の IP アドレス形式) または IP アドレスの範囲 (8.8.8.4/10 などの CIDR 形式) の [IP アドレス/CIDR の追加 ] をクリックします。

新しい受信者を作成するときに IP アクセス リストを追加するには、 Databricks CLI を使用して次のコマンドを実行し、 <recipient-name> と IP アドレスの値を置き換えます。

databricks unity-catalog recipients create \
  --name <recipient-name> \
  --allowed-ip-address=8.8.8.8 \
  --allowed-ip-address=8.8.8.4/10

既存の受信者に IP アクセス リストを追加するには、次のコマンドを実行して、 <recipient-name> と IP アドレスの値を置き換えます。

databricks unity-catalog recipients update \
  --name <recipient-name> \
  --json='{"ip_access_list": {"allowed_ip_addresses": ["8.8.8.8", "8.8.8.4/10"]}}'

IP アクセス リスト を削除する

受信者の IP アクセス リストは、カタログ エクスプローラーまたは Databricks Unity Catalog CLI を使用して削除できます。 リストからすべての IP アドレスを削除すると、受信者はどこからでも共有データにアクセスできます。

必要なアクセス許可: 受信者オブジェクトの所有者。

  1. Databricks ワークスペースで、[カタログ アイコン カタログ] をクリックします 。

  2. 左側のウィンドウで、[ Delta Sharing ] メニューを展開し、[ 自分が共有] を選択します。

  3. [ 受信者] タブで、受信者を選択します。

  4. [IP アクセス リスト ] タブで、削除する IP アドレスの横にあるごみ箱アイコンをクリックします。

Databricks CLI を使用して、空の IP アクセス リストを渡します。

databricks unity-catalog recipients update \
  --name <recipient-name> \
  --json='{"ip_access_list": {}}'

受信者の IP アクセスリスト を表示する

受信者の IP アクセス リストは、カタログ エクスプローラー、Databricks Unity Catalog CLI、またはノートブックまたは Databricks SQL クエリーの DESCRIBE RECIPIENT SQL コマンドを使用して表示できます。

必要な権限: メタストア管理者、 USE RECIPIENT 権限を持つユーザー、または受信者オブジェクトの所有者。

  1. Databricks ワークスペースで、[カタログ アイコン カタログ] をクリックします 。

  2. 左側のウィンドウで、[ Delta Sharing ] メニューを展開し、[ 自分が共有] を選択します。

  3. [ 受信者] タブで、受信者を見つけて選択します。

  4. [IP アクセス リスト ] タブで許可された IP アドレスを表示します。

Databricks CLI を使用して次のコマンドを実行します。

databricks unity-catalog recipients get --name <recipient-name>

ノートブックまたは Databricks SQL クエリー エディターで次のコマンドを実行します。

DESCRIBE RECIPIENT <recipient-name>;

Delta Sharing IP アクセス リストの 監査ロギング

次の操作により、IP アクセス リストに関連する監査ログがトリガーされます。

  • 受信者管理操作: 作成、更新

  • Delta Sharing OSS プロトコル REST API 呼び出しへのアクセスの拒否

  • Delta Sharing アクティベーションURLへのアクセス拒否(オープン共有のみ)

  • 資格情報ファイルのダウンロード Delta Sharing アクセス拒否 (オープン共有のみ)

Delta Sharingの監査ログを有効にして読み取る方法の詳細については、 「データ共有の監査と監視」を参照してください。