Restringir o acesso do destinatário do Delta Sharing usando listas de acesso IP (compartilhamento aberto)

Este artigo descreve como os provedores de dados podem atribuir listas de acesso IP para controlar o acesso dos destinatários aos dados compartilhados.

Se o senhor, como provedor de dados, estiver usando o protocolo aberto Delta Sharing, poderá limitar um destinatário a um conjunto restrito de endereços IP quando ele acessar os dados que você compartilha. Essa lista é independente das listas de acesso IP do Workspace. Somente listas de permissões são suportadas.

A lista de acesso IP afeta o seguinte:

  • Delta Sharing Protocolo OSS Acesso à API REST

  • Acesso ao URL de ativação do Delta Sharing

  • Delta Sharing arquivo de credenciais download

Cada destinatário suporta um máximo de 100 valores de IP/CIDR, sendo que um CIDR conta como um único valor. Somente endereços IPv4 são compatíveis.

Atribuir uma lista de acesso IP a um destinatário

O senhor pode atribuir uma lista de acesso IP a um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog.

Permissões necessárias: Se estiver atribuindo uma lista de acesso IP ao criar um destinatário, o senhor deve ser um administrador do metastore ou um usuário com o privilégio CREATE_RECIPIENT. Se estiver atribuindo uma lista de acesso IP a um destinatário existente, o senhor deve ser o proprietário do objeto destinatário.

  1. No seu workspace do Databricks, clique em Ícone de catálogo Catálogo.

  2. Na parte superior do painel Catálogo, clique no ícone de engrenagem ícone de engrenagem e selecione Delta Sharing.

    Como alternativa, na página de acesso rápido, clique no botão Delta Sharing >.

  3. Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.

  4. Na lista de acesso IP tab, clique em Add IP address/CIDRs para cada endereço IP (no formato de endereço IP único, como 8.8.8.8) ou intervalo de endereços IP (no formato CIDR, como 8.8.8.4/10).

Para adicionar uma lista de acesso IP ao criar um novo destinatário, execute o seguinte comando usando o botão Databricks CLIsubstituindo <recipient-name> e os valores de endereço IP.

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Para adicionar uma lista de acesso IP a um destinatário existente, execute o seguinte comando, substituindo <recipient-name> e os valores de endereço IP.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Remover uma lista de acesso IP

O senhor pode remover a lista de acesso IP de um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog. Se o senhor remover todos os endereços IP da lista, o destinatário poderá acessar os dados compartilhados de qualquer lugar.

Permissões necessárias: Proprietário do objeto destinatário.

  1. No seu workspace do Databricks, clique em Ícone de catálogo Catálogo.

  2. Na parte superior do painel Catálogo, clique no ícone de engrenagem ícone de engrenagem e selecione Delta Sharing.

    Como alternativa, na página de acesso rápido, clique no botão Delta Sharing >.

  3. Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.

  4. Na lista de acesso IP tab, clique no ícone da lixeira ao lado do endereço IP que o senhor deseja excluir.

Use a CLI da Databricks para passar uma lista de acesso IP vazia:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Visualizar a lista de acesso IP de um destinatário

O senhor pode view a lista de acesso IP de um destinatário usando o Catalog Explorer, o comando Databricks Unity Catalog CLI, ou o comando DESCRIBE RECIPIENT SQL em uma consulta do Notebook ou Databricks SQL.

Permissões necessárias: Administrador do metastore, usuário com o privilégio USE RECIPIENT ou o proprietário do objeto destinatário.

  1. No seu workspace do Databricks, clique em Ícone de catálogo Catálogo.

  2. Na parte superior do painel Catálogo, clique no ícone de engrenagem ícone de engrenagem e selecione Delta Sharing.

    Como alternativa, na página de acesso rápido, clique no botão Delta Sharing >.

  3. Em Shared by me (Compartilhado por mim ) tab, clique em Recipients (Destinatários ) e selecione o destinatário.

  4. visualizar os endereços IP permitidos na lista de acesso IP tab.

execute o seguinte comando usando o Databricks CLI.

databricks recipients get <recipient-name>

Execute o seguinte comando em um notebook ou no editor de consultas SQL do Databricks.

DESCRIBE RECIPIENT <recipient-name>;

Registro de auditoria para listas de acesso IP do Delta Sharing

As seguintes operações acionam a auditoria logs relacionada a listas de acesso IP:

  • Operações de gerenciamento de destinatários: criar, atualizar

  • Negação de acesso a qualquer uma das chamadas da API REST do protocolo OSS do Delta Sharing

  • Negação de acesso ao URL de ativação do Delta Sharing (somente compartilhamento aberto)

  • Negação de acesso ao download do arquivo de credencial do Delta Sharing (somente compartilhamento aberto)

Para saber mais sobre como ativar e ler logs de auditoria para o Delta Sharing, consulte Auditar e monitorar o compartilhamento de dados.