IP アクセス リストを使用して Delta Sharing 受信者のアクセスを制限する (オープン共有)

この記事では、データ プロバイダーが IP アクセス リストを割り当てて、共有データへの受信者のアクセスを制御する方法について説明します。

データ プロバイダーとしてオープン Delta Sharing プロトコルを使用している場合は、共有するデータにアクセスする受信者を、制限された IP アドレス セットに制限できます。 このリストは、ワークスペース IP アクセス リストから独立しています。 許可リストのみがサポートされています。

IP アクセス リストは、次の項目に影響します。

  • Delta Sharing OSS プロトコルREST APIアクセス

  • Delta Sharingアクティベーション URL アクセス

  • Delta Sharing 認証情報ファイルのダウンロード

各受信者は最大 100 個の IP/CIDR 値をサポートします。1 つの CIDR は 1 つの値としてカウントされます。 IPv4 アドレスのみがサポートされています。

受信者に IP アクセス リストを割り当てる

カタログ エクスプローラーまたは Databricks Unity Catalog CLI を使用して、受信者に IP アクセス リストを割り当てることができます。

必要な権限: 受信者の作成時に IP アクセス リストを割り当てる場合は、メタストア管理者または CREATE_RECIPIENT 権限を持つユーザーである必要があります。 既存の受信者に IP アクセス リストを割り当てる場合は、受信者オブジェクトの所有者である必要があります。

  1. Databricks ワークスペースで、カタログアイコンカタログをクリックします。

  2. カタログパネルの上部にある歯車アイコン歯車アイコンをクリックし、 Delta Sharingを選択します。

    または、クイック アクセスページでDelta Sharing >]ボタンをクリックします。

  3. [共有元]タブで、 [受信者]をクリックし、受信者を選択します。

  4. [IP アクセス リスト]タブで、各 IP アドレス (8.8.8.8 などの単一の IP アドレス形式) または IP アドレスの範囲 (8.8.8.4/10 などの CIDR 形式) の[IP アドレス/CIDR の追加]をクリックします。

新しい受信者を作成するときに IP アクセス リストを追加するには、 Databricks CLIを使用して次のコマンドを実行し、 <recipient-name>と IP アドレスの値を置き換えます。

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

既存の受信者に IP アクセス リストを追加するには、 <recipient-name>と IP アドレスの値を置き換えて次のコマンドを実行します。

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

IP アクセス リストを削除する

カタログ エクスプローラーまたは Databricks Unity Catalog CLI を使用して、受信者の IP アクセス リストを削除できます。 リストからすべての IP アドレスを削除すると、受信者はどこからでも共有データにアクセスできるようになります。

必要な権限: 受信者オブジェクトの所有者。

  1. Databricks ワークスペースで、カタログアイコンカタログをクリックします。

  2. カタログパネルの上部にある歯車アイコン歯車アイコンをクリックし、 Delta Sharingを選択します。

    または、クイック アクセスページでDelta Sharing >]ボタンをクリックします。

  3. [共有元]タブで、 [受信者]をクリックし、受信者を選択します。

  4. IP アクセス リストタブで、削除する IP アドレスの横にあるゴミ箱アイコンをクリックします。

Databricks CLIを使用して、空の IP アクセス リストを渡します。

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

受信者の IP アクセスリストを表示する

受信者の IP アクセス リストは、カタログ エクスプローラー、Databricks Unity Catalog CLI、またはノートブックまたは Databricks SQL クエリのDESCRIBE RECIPIENT SQL コマンドを使用して表示できます。

必要な権限: メタストア管理者、 USE RECIPIENT 権限を持つユーザー、または受信者オブジェクトの所有者。

  1. Databricks ワークスペースで、カタログアイコンカタログをクリックします。

  2. カタログパネルの上部にある歯車アイコン歯車アイコンをクリックし、 Delta Sharingを選択します。

    または、クイック アクセスページでDelta Sharing >]ボタンをクリックします。

  3. [共有元]タブで、 [受信者]をクリックし、受信者を選択します。

  4. IP アクセス リストタブで許可された IP アドレスを表示します。

Databricks CLIを使用して次のコマンドを実行します。

databricks recipients get <recipient-name>

ノートブックまたはDatabricks SQLクエリーエディタで次のコマンドを実行します。

DESCRIBE RECIPIENT <recipient-name>;

Delta Sharing IP アクセス リストの監査ロギング

次の操作は、IP アクセス リストに関連する監査ログをトリガーします。

  • 受信者管理操作: 作成、更新

  • Delta Sharing OSS Protocol REST API呼び出しへのアクセスの拒否

  • Delta Sharing アクティベーション URL へのアクセス拒否 (オープン共有のみ)

  • Delta Sharing 認証情報ファイルのダウンロードへのアクセス拒否 (オープン共有のみ)

Delta Sharingの監査ログを有効にして読み取る方法の詳細については、 「データ共有の監査と監視」を参照してください。