Restreindre l’accès des destinataires Delta Sharing à l’aide de listes d’accès IP (partage ouvert)
Cet article décrit comment les fournisseurs de données peuvent attribuer des listes d'accès IP pour contrôler l'accès des destinataires aux données partagées.
Si vous, en tant que fournisseur de données, utilisez le protocole Delta Sharing ouvert, vous pouvez limiter un destinataire à un ensemble restreint d’adresses IP quand il accède aux données que vous partagez. Cette liste est indépendante des listes d’accès IP d’espace de travail. Seules les listes autorisées sont prises en charge.
La liste d’accès IP affecte les éléments suivants :
- Accès de l’API REST du protocole OSS de Delta Sharing
- Accès de l’URL d’activation de Delta Sharing
- Téléchargement du fichier d’informations d’identification de Delta Sharing
Chaque destinataire prend en charge un maximum de 100 valeurs IP/CIDR, où un CIDR compte comme valeur unique. Seules les adresses IPv4 sont prises en charge.
Attribuer une liste d’accès IP à un destinataire
Vous pouvez attribuer une liste d’accès IP à un destinataire en utilisant Catalog Explorer ou l’interface CLI Databricks Unity Catalog.
Autorisations nécessaires : si vous attribuez une liste d’accès IP quand vous créez un destinataire, vous devez être administrateur de metastore ou avoir le privilège CREATE_RECIPIENT. Si vous attribuez une liste d’accès IP à un destinataire existant, vous devez être le propriétaire de l’objet destinataire.
Explorateur de catalogues
- Dans votre espace de travail Azure Databricks, cliquez sur l’
Catalogue. - Dans le volet gauche, développez le menu Delta Sharing et sélectionnez Partagé par moi.
- Sous l’onglet Destinataires, sélectionnez le destinataire.
- Sous l’onglet Liste d’accès IP, cliquez sur Ajouter une adresse IP/CIDR pour chaque adresse IP (sous la forme d’une seule adresse IP, par exemple 8.8.8.8) ou une plage d’adresses IP (au format CIDR, par exemple 8.8.8.4/10).
INTERFACE DE LIGNE DE COMMANDE
Pour ajouter une liste d’accès IP quand vous créez un destinataire, exécutez la commande suivante dans l’interface CLI Databricks, en remplaçant <recipient-name> et les valeurs d’adresse IP.
databricks recipients create \
--json=-'{
"name": "<recipient-name>",
"authentication_type": "<authentication-type>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
Pour ajouter une liste d’accès IP à un destinataire existant, exécutez la commande suivante, en remplaçant <recipient-name> et les valeurs d’adresse IP.
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
Supprimer une liste d’accès IP
Vous pouvez supprimer la liste d’accès IP d’un destinataire en utilisant Catalog Explorer ou l’interface CLI Databricks Unity Catalog. Si vous supprimez toutes les adresses IP de la liste, le destinataire peut accéder aux données partagées où qu’il se trouve.
Autorisations nécessaires : propriétaire de l’objet destinataire.
Explorateur de catalogues
- Dans votre espace de travail Azure Databricks, cliquez sur l’Catalogue.
- Dans le volet gauche, développez le menu Delta Sharing et sélectionnez Partagé par moi.
- Sous l’onglet Destinataires, sélectionnez le destinataire.
- Sous l’onglet Liste d’accès IP, cliquez sur l’icône de corbeille à côté de l’adresse IP à supprimer.
INTERFACE DE LIGNE DE COMMANDE
Utilisez l’interface CLI Databricks pour passer une liste d’accès IP vide :
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {}
}'
Voir la liste d’accès IP d’un destinataire
Vous pouvez voir la liste d’accès IP d’un destinataire en utilisant Catalog Explorer, l’interface CLI Databricks Unity Catalog ou la commande SQL DESCRIBE RECIPIENT dans un notebook ou une requête Databricks SQL.
Autorisations requises : administrateur de metastore, utilisateur disposant du privilège USE RECIPIENT ou propriétaire de l’objet destinataire.
Explorateur de catalogues
- Dans votre espace de travail Azure Databricks, cliquez sur l’Catalogue.
- Dans le volet gauche, développez le menu Delta Sharing et sélectionnez Partagé par moi.
- Sous l’onglet Destinataires, recherchez et sélectionnez le destinataire.
- Consultez les adresses IP autorisées sous l’onglet Liste d’accès IP.
INTERFACE DE LIGNE DE COMMANDE
Exécutez la commande suivante dans l’interface CLI Databricks.
databricks recipients get <recipient-name>
SQL
Exécutez la commande suivante dans un notebook ou dans l’éditeur de requête Databricks SQL.
DESCRIBE RECIPIENT <recipient-name>;
Journalisation d’audit pour les listes d’accès IP Delta Sharing
Les opérations suivantes déclenchent des journaux d’audit liés aux listes d’accès IP :
- Opérations de gestion des destinataires : créer, mettre à jour
- Refus d’accès à l’un des appels d’API REST du protocole OSS de Delta Sharing
- Refus d’accès à l’URL d’activation de Delta Sharing (partage ouvert uniquement)
- Refus d’accès au téléchargement du fichier d’informations d’identification de Delta Sharing (partage ouvert uniquement)
Pour en savoir plus sur l’activation et la lecture des journaux d’audit pour Delta Sharing, consultez Auditer et monitorer le partage de données.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour