Begränsa deltadelningsmottagares åtkomst med hjälp av IP-åtkomstlistor (öppen delning)

  • Artikel

Den här artikeln beskriver hur dataleverantörer kan tilldela IP-åtkomstlistor för att styra mottagarens åtkomst till delade data.

Om du som dataprovider använder det öppna deltadelningsprotokollet kan du begränsa en mottagare till en begränsad uppsättning IP-adresser när de kommer åt data som du delar. Den här listan är oberoende av IP-åtkomstlistor för arbetsytor. Endast tillåtna listor stöds.

IP-åtkomstlistan påverkar följande:

  • Delta Sharing OSS Protocol REST API-åtkomst
  • Åtkomst till aktiverings-URL för deltadelning
  • Nedladdning av deltadelningsautentiseringsuppgifter

Varje mottagare stöder högst 100 IP/CIDR-värden, där en CIDR räknas som ett enda värde. Endast IPv4-adresser stöds.

Tilldela en IP-åtkomstlista till en mottagare

Du kan tilldela en IP-åtkomstlista till en mottagare med hjälp av Catalog Explorer eller Databricks Unity Catalog CLI.

Behörigheter som krävs: Om du tilldelar en IP-åtkomstlista när du skapar en mottagare måste du vara metaarkivadministratör eller användare med behörigheten CREATE_RECIPIENT . Om du tilldelar en IP-åtkomstlista till en befintlig mottagare måste du vara mottagarens objektägare.

Katalogutforskaren

  1. På din Azure Databricks-arbetsyta klickar du på Katalogikon Katalog.

  2. Längst upp i fönstret Katalog klickar du på kugghjulsikonen Kugghjulsikon och väljer Deltadelning.

    Du kan också klicka på knappen Deltadelning > på sidan Snabbåtkomst.

  3. På fliken Delat av mig klickar du på Mottagare och väljer mottagaren.

  4. På fliken IP-åtkomstlista klickar du på Lägg till IP-adress/CIDR för varje IP-adress (i enskilt IP-adressformat, t.ex. 8.8.8.8) eller ip-adressintervall (i CIDR-format, till exempel 8.8.8.4/10).

CLI

Om du vill lägga till en IP-åtkomstlista när du skapar en ny mottagare kör du följande kommando med hjälp av Databricks CLI och ersätter <recipient-name> och IP-adressvärdena.

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Om du vill lägga till en IP-åtkomstlista till en befintlig mottagare kör du följande kommando, ersätter <recipient-name> och IP-adressvärdena.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Ta bort en IP-åtkomstlista

Du kan ta bort en mottagares IP-åtkomstlista med hjälp av Catalog Explorer eller Databricks Unity Catalog CLI. Om du tar bort alla IP-adresser från listan kan mottagaren komma åt delade data var som helst.

Behörigheter som krävs: Mottagarens objektägare.

Katalogutforskaren

  1. På din Azure Databricks-arbetsyta klickar du på Katalogikon Katalog.

  2. Längst upp i fönstret Katalog klickar du på kugghjulsikonen Kugghjulsikon och väljer Deltadelning.

    Du kan också klicka på knappen Deltadelning > på sidan Snabbåtkomst.

  3. På fliken Delat av mig klickar du på Mottagare och väljer mottagaren.

  4. På fliken IP-åtkomstlista klickar du på papperskorgsikonen bredvid den IP-adress som du vill ta bort.

CLI

Använd Databricks CLI för att skicka in en tom IP-åtkomstlista:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Visa en mottagares IP-åtkomstlista

Du kan visa en mottagares IP-åtkomstlista med hjälp av Catalog Explorer, Databricks Unity Catalog CLI eller DESCRIBE RECIPIENT SQL-kommandot i en notebook- eller Databricks SQL-fråga.

Behörigheter som krävs: Metaarkivadministratör, användare med USE RECIPIENT behörigheten eller mottagarens objektägare.

Katalogutforskaren

  1. På din Azure Databricks-arbetsyta klickar du på Katalogikon Katalog.

  2. Längst upp i fönstret Katalog klickar du på kugghjulsikonen Kugghjulsikon och väljer Deltadelning.

    Du kan också klicka på knappen Deltadelning > på sidan Snabbåtkomst.

  3. På fliken Delat av mig klickar du på Mottagare och väljer mottagaren.

  4. Visa tillåtna IP-adresser på fliken IP-åtkomstlista .

CLI

Kör följande kommando med hjälp av Databricks CLI.

databricks recipients get <recipient-name>

SQL

Kör följande kommando i en notebook-fil eller Databricks SQL-frågeredigeraren.

DESCRIBE RECIPIENT <recipient-name>;

Granskningsloggning för IP-åtkomstlistor för deltadelning

Följande åtgärder utlöser granskningsloggar relaterade till IP-åtkomstlistor:

  • Hanteringsåtgärder för mottagare: skapa, uppdatera
  • Nekad åtkomst till någon av REST API-anropen för Delta Sharing OSS Protocol
  • Nekad åtkomst till aktiverings-URL för deltadelning (endast öppen delning)
  • Nekad åtkomst till nedladdning av deltadelningsautentiseringsuppgifter (endast öppen delning)

Mer information om hur du aktiverar och läser granskningsloggar för deltadelning finns i Granska och övervaka datadelning.