Restringir o acesso de destinatários do Compartilhamento Delta usando listas de acesso IP (compartilhamento aberto)
Este artigo descreve como os provedores de dados podem atribuir listas de acesso IP para controlar o acesso de destinatários a dados compartilhados.
Se você, como provedor de dados, estiver usando o protocolo de compartilhamento delta aberto, poderá limitar um destinatário a um conjunto restrito de endereços IP quando ele acessar dados que você compartilha. Esta lista é independente das listas de acesso IP do espaço de trabalho. Apenas as listas de permissões são suportadas.
A lista de acesso IP afeta o seguinte:
- Acesso à API REST do Protocolo OSS de Compartilhamento Delta
- Acesso à URL de ativação do Delta Sharing
- Download do arquivo de credenciais do Delta Sharing
Cada destinatário suporta um máximo de 100 valores IP/CIDR, onde um CIDR conta como um único valor. Apenas são suportados endereços IPv4.
Atribuir uma lista de acesso IP a um destinatário
Você pode atribuir uma lista de acesso IP a um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog.
Permissões necessárias: Se você estiver atribuindo uma lista de acesso IP ao criar um destinatário, deverá ser um administrador de metastore ou usuário com o CREATE_RECIPIENT privilégio. Se você estiver atribuindo uma lista de acesso IP a um destinatário existente, deverá ser o proprietário do objeto destinatário.
Explorador de Catálogos
No seu espaço de trabalho do Azure Databricks, clique em
Catálogo.Na parte superior do painel Catálogo, clique no
ícone de engrenagem e selecione Compartilhamento Delta.Como alternativa, na página Acesso rápido , clique no botão Compartilhamento Delta > .
Na guia Compartilhado por mim, clique em Destinatários e selecione o destinatário.
Na guia Lista de acesso IP, clique em Adicionar endereço IP/CIDRs para cada endereço IP (em formato de endereço IP único, como 8.8.8.8) ou intervalo de endereços IP (no formato CIDR, como 8.8.8.4/10).
CLI
Para adicionar uma lista de acesso IP ao criar um novo destinatário, execute o seguinte comando usando a CLI do Databricks, substituindo <recipient-name> e os valores de endereço IP.
databricks recipients create \
--json=-'{
"name": "<recipient-name>",
"authentication_type": "<authentication-type>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
Para adicionar uma lista de acesso IP a um destinatário existente, execute o seguinte comando, substituindo <recipient-name> e os valores de endereço IP.
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
Remover uma lista de acesso IP
Você pode remover a lista de acesso IP de um destinatário usando o Catalog Explorer ou a CLI do Databricks Unity Catalog. Se você remover todos os endereços IP da lista, o destinatário poderá acessar os dados compartilhados de qualquer lugar.
Permissões necessárias: Proprietário do objeto do destinatário.
Explorador de Catálogos
No seu espaço de trabalho do Azure Databricks, clique em
Catálogo.Na parte superior do painel Catálogo, clique no
ícone de engrenagem e selecione Compartilhamento Delta.Como alternativa, na página Acesso rápido , clique no botão Compartilhamento Delta > .
Na guia Compartilhado por mim, clique em Destinatários e selecione o destinatário.
Na guia Lista de acesso IP, clique no ícone da lixeira ao lado do endereço IP que você deseja excluir.
CLI
Use a CLI do Databricks para passar uma lista de acesso IP vazia:
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {}
}'
Ver a lista de acesso IP de um destinatário
Você pode exibir a lista de acesso IP de um destinatário usando o Catalog Explorer, a CLI do Databricks Unity Catalog ou o DESCRIBE RECIPIENT comando SQL em um bloco de anotações ou consulta SQL do Databricks.
Permissões necessárias: administrador do Metastore, usuário com o USE RECIPIENT privilégio ou proprietário do objeto destinatário.
Explorador de Catálogos
No seu espaço de trabalho do Azure Databricks, clique em
Catálogo.Na parte superior do painel Catálogo, clique no
ícone de engrenagem e selecione Compartilhamento Delta.Como alternativa, na página Acesso rápido , clique no botão Compartilhamento Delta > .
Na guia Compartilhado por mim, clique em Destinatários e selecione o destinatário.
Exiba os endereços IP permitidos na guia Lista de acesso IP.
CLI
Execute o seguinte comando usando a CLI do Databricks.
databricks recipients get <recipient-name>
SQL
Execute o seguinte comando em um bloco de anotações ou no editor de consultas Databricks SQL.
DESCRIBE RECIPIENT <recipient-name>;
Log de auditoria para listas de acesso IP do Delta Sharing
As seguintes operações acionam logs de auditoria relacionados a listas de acesso IP:
- Operações de gerenciamento de destinatários: criar, atualizar
- Negação de acesso a qualquer uma das chamadas da API REST do Delta Sharing OSS Protocol
- Negação de acesso ao URL de ativação do Delta Sharing (somente compartilhamento aberto)
- Recusa de acesso ao download do arquivo de credenciais Delta Sharing (somente compartilhamento aberto)
Para saber mais sobre como habilitar e ler logs de auditoria para o Compartilhamento Delta, consulte Auditar e monitorar o compartilhamento de dados.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários