Restringir o acesso do destinatário do Delta Sharing usando listas de acesso IP (compartilhamento aberto)
Este artigo descreve como os provedores de dados podem atribuir listas de acesso IP para controlar o acesso dos destinatários aos dados compartilhados.
Se você, como provedor de dados, estiver usando o protocolo Delta Sharing aberto, poderá limitar um destinatário a um conjunto restrito de endereços IP quando ele acessar dados que você compartilha. Esta lista é independente das listas de acesso IP do Workspace. Somente listas de permissões são suportadas.
A lista de acesso IP afeta o seguinte:
Delta compartilhamento OSS Protocol REST API access
Acesso à URL de ativação do Delta compartilhamento
downloadsarquivos de credenciais de compartilhamento Delta
Cada destinatário oferece suporte a um máximo de 100 valores IP/CIDR, em que um CIDR conta como um único valor. Apenas endereços IPv4 são suportados.
Atribuir uma lista de acesso IP a um destinatário
Você pode atribuir uma lista de acesso IP a um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog.
Permissões necessárias: Se estiver atribuindo uma lista de acesso IP ao criar um destinatário, você deve ser um administrador metastore ou usuário com o privilégio CREATE_RECIPIENT
. Se você estiver atribuindo uma lista de acesso IP a um destinatário existente, deverá ser o proprietário do objeto destinatário.
No seu workspace do Databricks, clique em
Catálogo.
Na parte superior do painel Catálogo, clique no ícone de engrenagem
e selecione Delta Sharing.
Como alternativa, na página de acesso rápido, clique no botão Delta Sharing >.
Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.
Na tab Lista de acesso IP , clique em Adicionar endereço IP/CIDRs para cada endereço IP (no formato de endereço IP único, como 8.8.8.8) ou intervalo de endereços IP (no formato CIDR, como 8.8.8.4/10).
Para adicionar uma lista de acesso IP ao criar um novo destinatário, execute o seguinte comando usando o botão Databricks CLIsubstituindo <recipient-name>
e os valores de endereço IP.
databricks recipients create \
--json=-'{
"name": "<recipient-name>",
"authentication_type": "<authentication-type>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
Para adicionar uma lista de acesso IP a um destinatário existente, execute o seguinte comando, substituindo <recipient-name>
e os valores do endereço IP.
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
Remover uma lista de acesso IP
Você pode remover a lista de acesso IP de um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog. Se você remover todos os endereços IP da lista, o destinatário poderá acessar os dados compartilhados de qualquer lugar.
Permissões necessárias: proprietário do objeto destinatário.
No seu workspace do Databricks, clique em
Catálogo.
Na parte superior do painel Catálogo, clique no ícone de engrenagem
e selecione Delta Sharing.
Como alternativa, na página de acesso rápido, clique no botão Delta Sharing >.
Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.
Na tab Lista de acesso IP , clique no ícone da lixeira ao lado do endereço IP que deseja excluir.
Use a CLI da Databricks para passar uma lista de acesso IP vazia:
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {}
}'
Exibir a lista de acesso IP de um destinatário
Você pode view a lista de acesso IP de um destinatário usando o Catalog Explorer, a CLI Unity Catalog ou o comando SQL DESCRIBE RECIPIENT
em um Notebook ou query Databricks SQL.
Permissões necessárias: administrador do metastore, usuário com privilégio USE RECIPIENT
ou proprietário do objeto destinatário.
No seu workspace do Databricks, clique em
Catálogo.
Na parte superior do painel Catálogo, clique no ícone de engrenagem
e selecione Delta Sharing.
Como alternativa, na página de acesso rápido, clique no botão Delta Sharing >.
Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.
view os endereços IP permitidos na tab Lista de acesso IP .
execute o seguinte comando usando o Databricks CLI.
databricks recipients get <recipient-name>
execução do seguinte comando em um Notebook ou no editor query Databricks SQL .
DESCRIBE RECIPIENT <recipient-name>;
Log de auditoria para listas de acesso de IP Delta Sharing
As seguintes operações acionam logs de auditoria relacionados a listas de acesso IP:
Operações de gerenciamento de destinatários: criar, atualizar
Negação de acesso a qualquer uma das chamadas da API REST do Protocolo OSS da Delta
Negação de acesso ao URL de ativação Delta Sharing (somente compartilhamento aberto)
Negação de acesso a downloads de arquivos de credenciais do Delta Sharing (somente compartilhamento aberto)
Para saber mais sobre como ativar e ler logs de auditoria para o Delta Sharing, consulte Auditar e monitorar o compartilhamento de dados.