Omezení přístupu příjemce rozdílového sdílení pomocí přístupových seznamů IP (otevřené sdílení)

Tento článek popisuje, jak můžou poskytovatelé dat přiřadit seznamy přístupu IP k řízení přístupu příjemců ke sdíleným datům.

Pokud jako poskytovatel dat používáte otevřený protokol Delta Sharing, můžete příjemce omezit na omezenou sadu IP adres, když přistupuje k datům, která sdílíte. Tento seznam je nezávislý na seznamech přístupu IP adres pracovního prostoru. Podporují se jenom seznamy povolených.

Přístupový seznam IP adres ovlivňuje následující:

  • Rozdílové sdílení přístupu k rozhraní REST API protokolu OSS
  • Přístup k aktivační adrese URL pro Rozdílové sdílení
  • Stažení souboru přihlašovacích údajů pro sdílení delta

Každý příjemce podporuje maximálně 100 hodnot IP/CIDR, kde se jedna CIDR počítá jako jedna hodnota. V tuto chvíli jsou podporovány pouze adresy IPv4.

Přiřazení přístupového seznamu IP adres k příjemci

Přístupový seznam IP adres můžete příjemci přiřadit pomocí Průzkumníka katalogu nebo rozhraní příkazového řádku katalogu Databricks Unity.

Požadovaná oprávnění: Pokud při vytváření příjemce přiřazujete přístupový seznam IP adres, musíte být správcem metastoru CREATE_RECIPIENT nebo uživatelem s oprávněním. Pokud stávajícímu příjemci přiřazujete přístupový seznam IP adres, musíte být vlastníkem objektu příjemce.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se mnou klikněte na Příjemci a vyberte příjemce.

  4. Na kartě Přístup k IP adresě klikněte na Přidat IP adresu nebo identifikátoryCIDR pro každou IP adresu (ve formátu jedné IP adresy, například 8.8.8.8.8) nebo rozsah IP adres (ve formátu CIDR, například 8.8.8.4/10).

Rozhraní příkazového řádku

Pokud chcete přidat přístupový seznam IP adres při vytváření nového příjemce, spusťte následující příkaz pomocí rozhraní příkazového řádku Databricks a nahraďte <recipient-name> hodnoty IP adres.

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Pokud chcete přidat přístupový seznam IP adres k existujícímu příjemci, spusťte následující příkaz a nahraďte <recipient-name> hodnoty IP adres.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Odebrání přístupového seznamu IP adres

Přístupový seznam IP adres příjemce můžete odebrat pomocí Průzkumníka katalogu nebo rozhraní příkazového řádku katalogu Databricks Unity. Pokud ze seznamu odeberete všechny IP adresy, bude mít příjemce přístup ke sdíleným datům odkudkoli.

Požadovaná oprávnění: Vlastník objektu příjemce.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se mnou klikněte na Příjemci a vyberte příjemce.

  4. Na kartě Přístup k IP adresě klikněte na ikonu koše vedle IP adresy, kterou chcete odstranit.

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks předejte prázdný přístupový seznam IP adres:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Zobrazení přístupového seznamu IP adres příjemce

Přístupový seznam IP adres příjemce můžete zobrazit pomocí Průzkumníka katalogu, rozhraní příkazového řádku katalogu Databricks Unity nebo DESCRIBE RECIPIENT příkazu SQL v poznámkovém bloku nebo dotazu SQL Databricks.

Požadovaná oprávnění: správce metastoru USE RECIPIENT , uživatel s oprávněním nebo vlastník objektu příjemce.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se mnou klikněte na Příjemci a vyberte příjemce.

  4. Zobrazte povolené IP adresy na kartě přístupového seznamu IP adres.

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz.

databricks recipients get <recipient-name>

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz.

DESCRIBE RECIPIENT <recipient-name>;

Protokolování auditu pro seznamy přístupu IP pro rozdílové sdílení IP adres

Následující operace aktivují protokoly auditu související se seznamy přístupu IP:

  • Operace správy příjemců: vytvoření, aktualizace
  • Odepření přístupu k žádnému volání rozhraní REST API protokolu Delta Sharing OSS
  • Odepření přístupu k adrese URL aktivace rozdílového sdílení (pouze otevřené sdílení)
  • Odepření přístupu ke stažení souboru s přihlašovacími údaji sdílení Delta (pouze otevřené sdílení)

Další informace o povolení a čtení protokolů auditu pro rozdílové sdílení najdete v tématu Auditování a monitorování sdílení dat.