Einschränken des Zugriffs von Delta Sharing-Empfängern mithilfe von IP-Zugriffslisten (offene Freigabe)

In diesem Artikel wird beschrieben, wie Datenanbieter IP-Zugriffslisten zuweisen, um den Empfängerzugriff auf freigegebene Daten zu steuern.

Wenn Sie als Datenanbieter das Delta Sharing-Protokoll für offene Freigabe verwenden, können Sie Empfänger beim Zugriff auf die von Ihnen freigegebenen Daten auf eine eingeschränkte Gruppe von IP-Adressen beschränken. Diese Liste ist von IP-Zugriffslisten für Arbeitsbereiche unabhängig. Es werden nur Positivlisten unterstützt.

Die IP-Zugriffsliste wirkt sich auf Folgendes aus:

  • Delta Sharing-Zugriff auf die OSS-Protokoll-REST-API
  • Delta Sharing-Zugriff auf die Aktivierungs-URL
  • Delta Sharing-Download der Anmeldeinformationsdatei

Jeder Empfänger unterstützt maximal 100 IP/CIDR-Werte, wobei ein CIDR als einzelner Wert zählt. Es werden nur IPv4-Adressen unterstützt.

Zuweisen einer IP-Zugriffsliste zu einem Empfänger

Sie können einem Empfänger mithilfe des Katalog-Explorers oder der Databricks Unity Catalog-CLI eine IP-Zugriffsliste zuweisen.

Erforderliche Berechtigungen: Wenn Sie beim Erstellen eines Empfängers eine IP-Zugriffsliste zuweisen, müssen Sie ein Metastore-Administrator oder ein Benutzer mit der Berechtigung CREATE_RECIPIENT sein. Wenn Sie einem vorhandenen Empfänger eine IP-Zugriffsliste zuweisen, müssen Sie der Besitzer des Empfängerobjekts sein.

Katalog-Explorer

  1. Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf Symbol „Katalog“ Katalog.

  2. Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol Zahnradsymbol, und wählen Sie Delta Sharing aus.

    Klicken Sie alternativ auf der Seite Schnellzugriff auf die Schaltfläche Delta Sharing >.

  3. Klicken Sie auf der Registerkarte Von mir freigegeben auf Empfänger, und wählen Sie den Empfänger aus.

  4. Klicken Sie auf der Registerkarte IP-Zugriffsliste für jede IP-Adresse (im Format einer einzelnen IP-Adresse, z. B. 8.8.8.8) oder einen Bereich von IP-Adressen (im CIDR-Format, z. B. 8.8.8.4/10) auf IP-Adresse/CIDRs hinzufügen.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Um eine IP-Zugriffsliste beim Erstellen eines neuen Empfängers hinzuzufügen, führen Sie den folgenden Befehl mithilfe der Databricks CLI aus, und ersetzen Sie dabei <recipient-name> und die IP-Adresswerte.

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Um einem vorhandenen Empfänger eine IP-Zugriffsliste hinzuzufügen, führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <recipient-name> und die IP-Adresswerte.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Entfernen einer IP-Zugriffsliste

Sie können die IP-Zugriffsliste eines Empfängers mithilfe des Katalog-Explorers oder der Databricks Unity Catalog-CLI entfernen. Wenn Sie alle IP-Adressen aus der Liste entfernen, kann der Empfänger von jedem Ort aus auf die freigegebenen Daten zugreifen.

Erforderliche Berechtigungen: Besitzer des Empfängerobjekts

Katalog-Explorer

  1. Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf Symbol „Katalog“ Katalog.

  2. Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol Zahnradsymbol, und wählen Sie Delta Sharing aus.

    Klicken Sie alternativ auf der Seite Schnellzugriff auf die Schaltfläche Delta Sharing >.

  3. Klicken Sie auf der Registerkarte Von mir freigegeben auf Empfänger, und wählen Sie den Empfänger aus.

  4. Klicken Sie auf der Registerkarte IP-Zugriffsliste auf das Papierkorbsymbol neben der IP-Adresse, die Sie löschen möchten.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Verwenden Sie die Databricks CLI, um eine leere IP-Zugriffsliste zu übergeben:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Anzeigen der IP-Zugriffsliste eines Empfängers

Sie können die IP-Zugriffsliste eines Empfängers mit dem Katalog-Explorer, der Databricks Unity Catalog-CLI oder dem SQL-Befehl „DESCRIBE RECIPIENT“ in einem Notebook oder einer Databricks SQL-Abfrage anzeigen.

Erforderliche Berechtigungen: Metastore-Administrator, Benutzer mit den USE RECIPIENT-Berechtigungen oder Empfängerobjektbesitzer.

Katalog-Explorer

  1. Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf Symbol „Katalog“ Katalog.

  2. Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol Zahnradsymbol, und wählen Sie Delta Sharing aus.

    Klicken Sie alternativ auf der Seite Schnellzugriff auf die Schaltfläche Delta Sharing >.

  3. Klicken Sie auf der Registerkarte Von mir freigegeben auf Empfänger, und wählen Sie den Empfänger aus.

  4. Zeigen Sie zulässige IP-Adressen auf der Registerkarte IP-Zugriffsliste an.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Führen Sie über die Databricks-CLI den folgenden Befehl aus.

databricks recipients get <recipient-name>

SQL

Führen Sie in einem Notebook oder im Databricks SQL-Abfrage-Editor den folgenden Befehl aus.

DESCRIBE RECIPIENT <recipient-name>;

Überwachungsprotokollierung für IP-Zugriffslisten für Delta Sharing

Die folgenden Vorgänge lösen Überwachungsprotokolle aus, die sich auf IP-Zugriffslisten beziehen:

  • Verwaltungsvorgänge für Empfänger: Erstellen, Aktualisieren
  • Verweigerung des Zugriffs auf einen der Delta Sharing-Aufrufe der OSS-Protokoll-REST-API
  • Verweigerung des Zugriffs auf Delta Sharing-Aktivierungs-URL (nur offene Freigabe)
  • Verweigerung des Zugriffs auf den Delta Sharing-Download der Anmeldeinformationsdatei (nur offene Freigabe)

Weitere Informationen zum Aktivieren und Lesen von Überwachungsprotokollen für Delta Sharing finden Sie unter Überprüfen und Überwachen der Datenfreigabe.