Restringir o acesso do destinatário do Delta Sharing usando listas de acesso IP (compartilhamento aberto)

Este artigo descreve como os provedores de dados podem atribuir listas de acesso IP para controlar o acesso dos destinatários aos dados compartilhados.

Se você, como provedor de dados, estiver usando o protocolo de compartilhamento Delta aberto, poderá limitar um destinatário a um conjunto restrito de endereços IP quando ele acessar os dados que você compartilha. Esta lista é independente das listas de acesso IP do Workspace. Somente listas de permissões são suportadas.

A lista de acesso IP afeta o seguinte:

  • Delta compartilhamento OSS Protocol REST API access

  • Acesso à URL de ativação do Delta compartilhamento

  • downloadsarquivos de credenciais de compartilhamento Delta

Cada destinatário oferece suporte a um máximo de 100 valores IP/CIDR, em que um CIDR conta como um único valor. Apenas endereços IPv4 são suportados.

Atribuir uma lista de acesso IP a um destinatário

Você pode atribuir uma lista de acesso IP a um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog.

Permissões necessárias: Se estiver atribuindo uma lista de acesso IP ao criar um destinatário, você deve ser um administrador metastore ou usuário com o privilégio CREATE_RECIPIENT . Se você estiver atribuindo uma lista de acesso IP a um destinatário existente, deverá ser o proprietário do objeto destinatário.

  1. No seu workspace do Databricks, clique em Ícone de catálogo Catálogo.

  2. No painel esquerdo, expanda o menu Delta compartilhamento e selecione Compartilhado por mim.

  3. Na tab Destinatários , selecione o destinatário.

  4. Na tab Lista de acesso IP , clique em Adicionar endereço IP/CIDRs para cada endereço IP (no formato de endereço IP único, como 8.8.8.8) ou intervalo de endereços IP (no formato CIDR, como 8.8.8.4/10).

Para adicionar uma lista de acesso IP ao criar um novo destinatário, execute o seguinte comando usando a CLI do Databricks, substituindo <recipient-name> e os valores de endereço IP.

databricks unity-catalog recipients create \
  --name <recipient-name> \
  --allowed-ip-address=8.8.8.8 \
  --allowed-ip-address=8.8.8.4/10

Para adicionar uma lista de acesso IP a um destinatário existente, execute o seguinte comando, substituindo <recipient-name> e os valores do endereço IP.

databricks unity-catalog recipients update \
  --name <recipient-name> \
  --json='{"ip_access_list": {"allowed_ip_addresses": ["8.8.8.8", "8.8.8.4/10"]}}'

Remover uma lista de acesso IP

Você pode remover a lista de acesso IP de um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog. Se você remover todos os endereços IP da lista, o destinatário poderá acessar os dados compartilhados de qualquer lugar.

Permissões necessárias: proprietário do objeto destinatário.

  1. No seu workspace do Databricks, clique em Ícone de catálogo Catálogo.

  2. No painel esquerdo, expanda o menu Delta compartilhamento e selecione Compartilhado por mim.

  3. Na tab Destinatários , selecione o destinatário.

  4. Na tab Lista de acesso IP , clique no ícone da lixeira ao lado do endereço IP que deseja excluir.

Use a CLI do Databricks para passar em uma lista de acesso IP vazia:

databricks unity-catalog recipients update \
  --name <recipient-name> \
  --json='{"ip_access_list": {}}'

Exibir a lista de acesso IP de um destinatário

Você pode view a lista de acesso IP de um destinatário usando o Catalog Explorer, a CLI Unity Catalog ou o comando SQL DESCRIBE RECIPIENT em um Notebook ou query Databricks SQL.

Permissões necessárias: administrador do metastore, usuário com privilégio USE RECIPIENT ou proprietário do objeto destinatário.

  1. No seu workspace do Databricks, clique em Ícone de catálogo Catálogo.

  2. No painel esquerdo, expanda o menu Delta compartilhamento e selecione Compartilhado por mim.

  3. Na tab Destinatários , localize e selecione o destinatário.

  4. view os endereços IP permitidos na tab Lista de acesso IP .

execução do seguinte comando usando a CLI do Databricks.

databricks unity-catalog recipients get --name <recipient-name>

execução do seguinte comando em um Notebook ou no editor query Databricks SQL .

DESCRIBE RECIPIENT <recipient-name>;

Log de auditoria para listas de acesso de IP Delta Sharing

As seguintes operações acionam logs de auditoria relacionados a listas de acesso IP:

  • Operações de gerenciamento de destinatários: criar, atualizar

  • Negação de acesso a qualquer uma das chamadas da API REST do Protocolo OSS da Delta

  • Negação de acesso ao URL de ativação Delta Sharing (somente compartilhamento aberto)

  • Negação de acesso a downloads de arquivos de credenciais do Delta Sharing (somente compartilhamento aberto)

Para saber mais sobre como ativar e ler logs de auditoria para o Delta Sharing, consulte Auditar e monitorar o compartilhamento de dados.