Restringir o acesso do destinatário do Delta Sharing usando listas de acesso IP (compartilhamento aberto)

Este artigo descreve como os provedores de dados podem atribuir listas de acesso IP para controlar o acesso dos destinatários aos dados compartilhados.

Se você, como provedor de dados, estiver usando o protocolo Delta Sharing aberto, poderá limitar um destinatário a um conjunto restrito de endereços IP quando ele acessar dados que você compartilha. Esta lista é independente das listas de acesso IP do Workspace. Somente listas de permissões são suportadas.

A lista de acesso IP afeta o seguinte:

  • Delta compartilhamento OSS Protocol REST API access

  • Acesso à URL de ativação do Delta compartilhamento

  • downloadsarquivos de credenciais de compartilhamento Delta

Cada destinatário oferece suporte a um máximo de 100 valores IP/CIDR, em que um CIDR conta como um único valor. Apenas endereços IPv4 são suportados.

Atribuir uma lista de acesso IP a um destinatário

Você pode atribuir uma lista de acesso IP a um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog.

Permissões necessárias: Se estiver atribuindo uma lista de acesso IP ao criar um destinatário, você deve ser um administrador metastore ou usuário com o privilégio CREATE_RECIPIENT . Se você estiver atribuindo uma lista de acesso IP a um destinatário existente, deverá ser o proprietário do objeto destinatário.

  1. No seu workspace do Databricks, clique em Ícone de catálogo Catálogo.

  2. Na parte superior do painel Catálogo, clique no ícone de engrenagem ícone de engrenagem e selecione Delta Sharing.

    Como alternativa, na página de acesso rápido, clique no botão Delta Sharing >.

  3. Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.

  4. Na tab Lista de acesso IP , clique em Adicionar endereço IP/CIDRs para cada endereço IP (no formato de endereço IP único, como 8.8.8.8) ou intervalo de endereços IP (no formato CIDR, como 8.8.8.4/10).

Para adicionar uma lista de acesso IP ao criar um novo destinatário, execute o seguinte comando usando o botão Databricks CLIsubstituindo <recipient-name> e os valores de endereço IP.

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Para adicionar uma lista de acesso IP a um destinatário existente, execute o seguinte comando, substituindo <recipient-name> e os valores do endereço IP.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Remover uma lista de acesso IP

Você pode remover a lista de acesso IP de um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog. Se você remover todos os endereços IP da lista, o destinatário poderá acessar os dados compartilhados de qualquer lugar.

Permissões necessárias: proprietário do objeto destinatário.

  1. No seu workspace do Databricks, clique em Ícone de catálogo Catálogo.

  2. Na parte superior do painel Catálogo, clique no ícone de engrenagem ícone de engrenagem e selecione Delta Sharing.

    Como alternativa, na página de acesso rápido, clique no botão Delta Sharing >.

  3. Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.

  4. Na tab Lista de acesso IP , clique no ícone da lixeira ao lado do endereço IP que deseja excluir.

Use a CLI da Databricks para passar uma lista de acesso IP vazia:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Exibir a lista de acesso IP de um destinatário

Você pode view a lista de acesso IP de um destinatário usando o Catalog Explorer, a CLI Unity Catalog ou o comando SQL DESCRIBE RECIPIENT em um Notebook ou query Databricks SQL.

Permissões necessárias: administrador do metastore, usuário com privilégio USE RECIPIENT ou proprietário do objeto destinatário.

  1. No seu workspace do Databricks, clique em Ícone de catálogo Catálogo.

  2. Na parte superior do painel Catálogo, clique no ícone de engrenagem ícone de engrenagem e selecione Delta Sharing.

    Como alternativa, na página de acesso rápido, clique no botão Delta Sharing >.

  3. Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.

  4. view os endereços IP permitidos na tab Lista de acesso IP .

execute o seguinte comando usando o Databricks CLI.

databricks recipients get <recipient-name>

execução do seguinte comando em um Notebook ou no editor query Databricks SQL .

DESCRIBE RECIPIENT <recipient-name>;

Log de auditoria para listas de acesso de IP Delta Sharing

As seguintes operações acionam logs de auditoria relacionados a listas de acesso IP:

  • Operações de gerenciamento de destinatários: criar, atualizar

  • Negação de acesso a qualquer uma das chamadas da API REST do Protocolo OSS da Delta

  • Negação de acesso ao URL de ativação Delta Sharing (somente compartilhamento aberto)

  • Negação de acesso a downloads de arquivos de credenciais do Delta Sharing (somente compartilhamento aberto)

Para saber mais sobre como ativar e ler logs de auditoria para o Delta Sharing, consulte Auditar e monitorar o compartilhamento de dados.