IP アクセス リストを使用してDelta Sharing受信者のアクセスを制限する (オープン共有)
この記事では、データ プロバイダーが IP アクセス リストを割り当てて、共有データへの受信者のアクセスを制御する方法について説明します。
データ プロバイダーとしてオープンな Delta Sharing プロトコルを使用している場合は、受信者が共有するデータにアクセスするときに、制限された IP アドレスのセットに制限できます。 このリストは、 ワークスペースの IP アクセス リストとは無関係です。 許可リストのみがサポートされています。
IP アクセス リストは、次のものに影響します。
Delta Sharing OSS プロトコル REST API アクセス
アクティベーション URL アクセスDelta Sharing
Delta Sharing 資格情報ファイルのダウンロード
各受信者は最大 100 個の IP/CIDR 値をサポートし、1 つの CIDR は 1 つの値としてカウントされます。 IPv4 アドレスのみがサポートされています。
受信者 に IP アクセス リストを割り当てる
IP アクセス リストは、カタログ エクスプローラーまたは Databricks Unity Catalog CLI を使用して受信者に割り当てることができます。
必要なアクセス許可: 受信者を作成するときに IP アクセス リストを割り当てる場合は、メタストア管理者または CREATE_RECIPIENT
特権を持つユーザーである必要があります。 既存の受信者に IP アクセス リストを割り当てる場合は、受信者オブジェクトの所有者である必要があります。
Databricks ワークスペースで、[ カタログ] をクリックします 。
左側のウィンドウで、[ Delta Sharing ] メニューを展開し、[ 自分が共有] を選択します。
[ 受信者] タブで、受信者を選択します。
[IP アクセス・リスト ] タブで、各 IP アドレス (8.8.8.8 などの単一の IP アドレス形式) または IP アドレスの範囲 (8.8.8.4/10 などの CIDR 形式) の [IP アドレス/CIDR の追加 ] をクリックします。
新しい受信者を作成するときに IP アクセス リストを追加するには、 Databricks CLI を使用して次のコマンドを実行し、 <recipient-name>
と IP アドレスの値を置き換えます。
databricks unity-catalog recipients create \
--name <recipient-name> \
--allowed-ip-address=8.8.8.8 \
--allowed-ip-address=8.8.8.4/10
既存の受信者に IP アクセス リストを追加するには、次のコマンドを実行して、 <recipient-name>
と IP アドレスの値を置き換えます。
databricks unity-catalog recipients update \
--name <recipient-name> \
--json='{"ip_access_list": {"allowed_ip_addresses": ["8.8.8.8", "8.8.8.4/10"]}}'
IP アクセス リスト を削除する
受信者の IP アクセス リストは、カタログ エクスプローラーまたは Databricks Unity Catalog CLI を使用して削除できます。 リストからすべての IP アドレスを削除すると、受信者はどこからでも共有データにアクセスできます。
必要なアクセス許可: 受信者オブジェクトの所有者。
Databricks ワークスペースで、[ カタログ] をクリックします 。
左側のウィンドウで、[ Delta Sharing ] メニューを展開し、[ 自分が共有] を選択します。
[ 受信者] タブで、受信者を選択します。
[IP アクセス リスト ] タブで、削除する IP アドレスの横にあるごみ箱アイコンをクリックします。
Databricks CLI を使用して、空の IP アクセス リストを渡します。
databricks unity-catalog recipients update \
--name <recipient-name> \
--json='{"ip_access_list": {}}'
受信者の IP アクセスリスト を表示する
受信者の IP アクセス リストは、カタログ エクスプローラー、Databricks Unity Catalog CLI、またはノートブックまたは Databricks SQL クエリーの DESCRIBE RECIPIENT
SQL コマンドを使用して表示できます。
必要な権限: メタストア管理者、 USE RECIPIENT
権限を持つユーザー、または受信者オブジェクトの所有者。
Databricks ワークスペースで、[ カタログ] をクリックします 。
左側のウィンドウで、[ Delta Sharing ] メニューを展開し、[ 自分が共有] を選択します。
[ 受信者] タブで、受信者を見つけて選択します。
[IP アクセス リスト ] タブで許可された IP アドレスを表示します。
Databricks CLI を使用して次のコマンドを実行します。
databricks unity-catalog recipients get --name <recipient-name>
ノートブックまたは Databricks SQL クエリー エディターで次のコマンドを実行します。
DESCRIBE RECIPIENT <recipient-name>;
Delta Sharing IP アクセス リストの 監査ロギング
次の操作により、IP アクセス リストに関連する監査ログがトリガーされます。
受信者管理操作: 作成、更新
Delta Sharing OSS プロトコル REST API 呼び出しへのアクセスの拒否
Delta Sharing アクティベーションURLへのアクセス拒否(オープン共有のみ)
資格情報ファイルのダウンロード Delta Sharing アクセス拒否 (オープン共有のみ)
Delta Sharingの監査ログを有効にして読み取る方法の詳細については、 「データ共有の監査と監視」を参照してください。