Compartir vía


Restrinja el acceso de los destinatarios a Compartir Delta mediante listas de acceso IP (compartir en abierto)

En este artículo se describe cómo los proveedores de datos pueden asignar listas de acceso IP para controlar el acceso de los destinatarios a los datos compartidos.

Si, como proveedor de datos, usa el protocolo Delta Sharing abierto, puede limitar un destinatario a un conjunto restringido de direcciones IP cuando acceden a los datos que comparte. Esta lista es independiente de IP Access List API 2.0. Solo se admiten listas de permitidos.

La lista de acceso IP afecta a los siguientes aspectos:

  • El acceso a la API de REST del protocolo del software de código abierto de Delta Sharing
  • El acceso a la dirección URL de activación de Delta Sharing
  • La descarga del archivo de credenciales de Delta Sharing

Cada destinatario admite un máximo de 100 valores de IP/CIDR, donde un CIDR cuenta como un valor único. Solo se admiten direcciones IPv4.

Asignación de una lista de acceso IP a un destinatario

Puede asignar una lista de acceso IP a un destinatario mediante el Explorador de catálogos o la CLI de Unity Catalog de Databricks.

Permisos necesarios: si va a asignar una lista de acceso IP al crear un destinatario, debe ser administrador de metastore o usuario con el privilegio CREATE_RECIPIENT. Si va a asignar una lista de acceso IP a un destinatario existente, debe ser el propietario del objeto del destinatario.

Explorador de catálogo

  1. En el área de trabajo de Azure Databricks, haga clic en Icono de catálogo Catálogo.

  2. En la parte superior del panel Catálogo, haga clic en el icono del engranaje de icono de engranaje y seleccione Delta Sharing.

    Como alternativa, en la página deAcceso rápido, haga clic en el botón Delta Sharing> .

  3. En la pestaña Compartido por mí, haga clic en Destinatarios y seleccione el destinatario.

  4. En la pestaña IP access list (Lista de acceso IP), haga clic en Add IP address/CIDRs (Agregar dirección IP/CIDR) para cada dirección IP (en formato de dirección IP única, como 8.8.8.8) o intervalo de direcciones IP (en formato CIDR, como 8.8.8.4/10).

CLI

Para agregar una lista de acceso IP al crear un nuevo destinatario, ejecute el comando siguiente mediante la CLI de Databricks, reemplazando <recipient-name> y los valores de dirección IP.

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Para agregar una lista de acceso IP a un destinatario existente, ejecute el comando siguiente, reemplazando <recipient-name> y los valores de dirección IP.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Eliminación de una lista de acceso IP

Puede quitar la lista de acceso IP de un destinatario mediante el Explorador de catálogos o la CLI de Unity Catalog de Databricks. Si quita todas las direcciones IP de la lista, el destinatario puede acceder a los datos compartidos desde cualquier lugar.

Permisos requeridos: propietario del objeto de destinatario.

Explorador de catálogo

  1. En el área de trabajo de Azure Databricks, haga clic en Icono de catálogo Catálogo.

  2. En la parte superior del panel Catálogo, haga clic en el icono del engranaje de icono de engranaje y seleccione Delta Sharing.

    Como alternativa, en la página deAcceso rápido, haga clic en el botón Delta Sharing> .

  3. En la pestaña Compartido por mí, haga clic en Destinatarios y seleccione el destinatario.

  4. En la pestaña Lista de acceso IP, haga clic en el icono de papelera situado junto a la dirección IP que desea eliminar.

CLI

Use la CLI de Databricks para pasar una lista de acceso IP vacía:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Visualización de la lista de acceso IP de un destinatario

Puede ver la lista de acceso IP de un destinatario con el Explorador de catálogos, la CLI de Unity Catalog de Databricks o el comando SQL DESCRIBE RECIPIENT en un cuaderno o una consulta SQL de Databricks.

Permisos necesarios: administrador del metastore, usuario con el privilegio USE RECIPIENT o el propietario del objeto del destinatario.

Explorador de catálogo

  1. En el área de trabajo de Azure Databricks, haga clic en Icono de catálogo Catálogo.

  2. En la parte superior del panel Catálogo, haga clic en el icono del engranaje de icono de engranaje y seleccione Delta Sharing.

    Como alternativa, en la página deAcceso rápido, haga clic en el botón Delta Sharing> .

  3. En la pestaña Compartido por mí, haga clic en Destinatarios y seleccione el destinatario.

  4. Vea las direcciones IP permitidas en la pestaña Lista de acceso IP.

CLI

Ejecute el siguiente comando mediante la CLI de Databricks.

databricks recipients get <recipient-name>

SQL

Ejecute el siguiente comando en un cuaderno o en el editor de consultas de Databricks SQL.

DESCRIBE RECIPIENT <recipient-name>;

Registro de auditoría para listas de acceso IP de Delta Sharing

Las siguientes operaciones desencadenan registros de auditoría relacionados con las listas de acceso IP:

  • Operaciones de administración de destinatarios: crear, actualizar
  • Denegación de acceso a todas las llamadas de API REST del protocolo del software de código abierto de Delta Sharing
  • Denegación de acceso a la dirección URL de activación de Delta Sharing (solo uso compartido abierto)
  • Denegación de acceso a la descarga del archivo de credenciales de Delta Sharing (solo uso compartido abierto)

Para más información sobre cómo habilitar y leer los registros de auditoría para Delta Sharing, consulte Auditoría y supervisión del uso compartido de datos.