Einschränken des Zugriffs von Delta Sharing-Empfängern mithilfe von IP-Zugriffslisten (offene Freigabe)
In diesem Artikel wird beschrieben, wie Datenanbieter IP-Zugriffslisten zuweisen, um den Empfängerzugriff auf freigegebene Daten zu steuern.
Wenn Sie als Datenanbieter das Delta Sharing-Protokoll für offene Freigabe verwenden, können Sie Empfänger beim Zugriff auf die von Ihnen freigegebenen Daten auf eine eingeschränkte Gruppe von IP-Adressen beschränken. Diese Liste ist von IP-Zugriffslisten für Arbeitsbereiche unabhängig. Es werden nur Positivlisten unterstützt.
Die IP-Zugriffsliste wirkt sich auf Folgendes aus:
- Delta Sharing-Zugriff auf die OSS-Protokoll-REST-API
- Delta Sharing-Zugriff auf die Aktivierungs-URL
- Delta Sharing-Download der Anmeldeinformationsdatei
Jeder Empfänger unterstützt maximal 100 IP/CIDR-Werte, wobei ein CIDR als einzelner Wert zählt. Es werden nur IPv4-Adressen unterstützt.
Zuweisen einer IP-Zugriffsliste zu einem Empfänger
Sie können einem Empfänger mithilfe des Katalog-Explorers oder der Databricks Unity Catalog-CLI eine IP-Zugriffsliste zuweisen.
Erforderliche Berechtigungen: Wenn Sie beim Erstellen eines Empfängers eine IP-Zugriffsliste zuweisen, müssen Sie ein Metastore-Administrator oder ein Benutzer mit der Berechtigung CREATE_RECIPIENT sein. Wenn Sie einem vorhandenen Empfänger eine IP-Zugriffsliste zuweisen, müssen Sie der Besitzer des Empfängerobjekts sein.
Katalog-Explorer
Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf
Katalog.Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol
, und wählen Sie Delta Sharing aus.Klicken Sie alternativ auf der Seite Schnellzugriff auf die Schaltfläche Delta Sharing >.
Klicken Sie auf der Registerkarte Von mir freigegeben auf Empfänger, und wählen Sie den Empfänger aus.
Klicken Sie auf der Registerkarte IP-Zugriffsliste für jede IP-Adresse (im Format einer einzelnen IP-Adresse, z. B. 8.8.8.8) oder einen Bereich von IP-Adressen (im CIDR-Format, z. B. 8.8.8.4/10) auf IP-Adresse/CIDRs hinzufügen.
BEFEHLSZEILENSCHNITTSTELLE (CLI)
Um eine IP-Zugriffsliste beim Erstellen eines neuen Empfängers hinzuzufügen, führen Sie den folgenden Befehl mithilfe der Databricks CLI aus, und ersetzen Sie dabei <recipient-name> und die IP-Adresswerte.
databricks recipients create \
--json=-'{
"name": "<recipient-name>",
"authentication_type": "<authentication-type>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
Um einem vorhandenen Empfänger eine IP-Zugriffsliste hinzuzufügen, führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <recipient-name> und die IP-Adresswerte.
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
Entfernen einer IP-Zugriffsliste
Sie können die IP-Zugriffsliste eines Empfängers mithilfe des Katalog-Explorers oder der Databricks Unity Catalog-CLI entfernen. Wenn Sie alle IP-Adressen aus der Liste entfernen, kann der Empfänger von jedem Ort aus auf die freigegebenen Daten zugreifen.
Erforderliche Berechtigungen: Besitzer des Empfängerobjekts
Katalog-Explorer
Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf
Katalog.Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol
, und wählen Sie Delta Sharing aus.Klicken Sie alternativ auf der Seite Schnellzugriff auf die Schaltfläche Delta Sharing >.
Klicken Sie auf der Registerkarte Von mir freigegeben auf Empfänger, und wählen Sie den Empfänger aus.
Klicken Sie auf der Registerkarte IP-Zugriffsliste auf das Papierkorbsymbol neben der IP-Adresse, die Sie löschen möchten.
BEFEHLSZEILENSCHNITTSTELLE (CLI)
Verwenden Sie die Databricks CLI, um eine leere IP-Zugriffsliste zu übergeben:
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {}
}'
Anzeigen der IP-Zugriffsliste eines Empfängers
Sie können die IP-Zugriffsliste eines Empfängers mit dem Katalog-Explorer, der Databricks Unity Catalog-CLI oder dem SQL-Befehl „DESCRIBE RECIPIENT“ in einem Notebook oder einer Databricks SQL-Abfrage anzeigen.
Erforderliche Berechtigungen: Metastore-Administrator, Benutzer mit den USE RECIPIENT-Berechtigungen oder Empfängerobjektbesitzer.
Katalog-Explorer
Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf
Katalog.Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol
, und wählen Sie Delta Sharing aus.Klicken Sie alternativ auf der Seite Schnellzugriff auf die Schaltfläche Delta Sharing >.
Klicken Sie auf der Registerkarte Von mir freigegeben auf Empfänger, und wählen Sie den Empfänger aus.
Zeigen Sie zulässige IP-Adressen auf der Registerkarte IP-Zugriffsliste an.
BEFEHLSZEILENSCHNITTSTELLE (CLI)
Führen Sie über die Databricks-CLI den folgenden Befehl aus.
databricks recipients get <recipient-name>
SQL
Führen Sie in einem Notebook oder im Databricks SQL-Abfrage-Editor den folgenden Befehl aus.
DESCRIBE RECIPIENT <recipient-name>;
Überwachungsprotokollierung für IP-Zugriffslisten für Delta Sharing
Die folgenden Vorgänge lösen Überwachungsprotokolle aus, die sich auf IP-Zugriffslisten beziehen:
- Verwaltungsvorgänge für Empfänger: Erstellen, Aktualisieren
- Verweigerung des Zugriffs auf einen der Delta Sharing-Aufrufe der OSS-Protokoll-REST-API
- Verweigerung des Zugriffs auf Delta Sharing-Aktivierungs-URL (nur offene Freigabe)
- Verweigerung des Zugriffs auf den Delta Sharing-Download der Anmeldeinformationsdatei (nur offene Freigabe)
Weitere Informationen zum Aktivieren und Lesen von Überwachungsprotokollen für Delta Sharing finden Sie unter Überprüfen und Überwachen der Datenfreigabe.