Omezení přístupu příjemce rozdílového sdílení pomocí přístupových seznamů IP (otevřené sdílení)

Tento článek popisuje, jak můžou poskytovatelé dat přiřadit seznamy přístupu IP k řízení přístupu příjemců ke sdíleným datům.

Pokud jako poskytovatel dat používáte otevřený protokol Delta Sharing, můžete příjemce omezit na omezenou sadu IP adres, když přistupuje k datům, která sdílíte. Tento seznam je nezávislý na přístupových seznamech IP adres pracovního prostoru. Podporují se jenom seznamy povolených.

Přístupový seznam IP adres ovlivňuje následující:

• Rozdílové sdílení přístupu k rozhraní REST API protokolu OSS
• Přístup k aktivační adrese URL pro Rozdílové sdílení
• Stažení souboru přihlašovacích údajů pro sdílení delta

Každý příjemce podporuje maximálně 100 hodnot IP/CIDR, kde se jedna CIDR počítá jako jedna hodnota. V tuto chvíli jsou podporovány pouze adresy IPv4.

Přiřazení přístupového seznamu IP adres k příjemci

Přístupový seznam IP adres můžete příjemci přiřadit pomocí Průzkumníka katalogu nebo rozhraní příkazového řádku katalogu Databricks Unity.

požadovaná oprávnění: Pokud při vytváření příjemce přiřazujete přístupový seznam IP adres, musíte být správcem metastoru nebo uživatelem s oprávněním CREATE_RECIPIENT. Pokud stávajícímu příjemci přiřazujete přístupový seznam IP adres, musíte být vlastníkem objektu příjemce.

Průzkumník katalogu

1. V pracovním prostoru Azure Databricks klikněte na ikonu Katalog .

2. V horní části podokna katalogu klikněte na ikonu ozubeného kola ikonu ozubeného kola a vyberte Delta Sharing.

   Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

3. Na kartě Sdíleno mnou klikněte na Příjemce a vyberte příjemce.

4. Na kartě přístupový seznam IP klikněte na Přidat IP adresu nebo identifikátory CIDR pro každou IP adresu (ve formátu jedné IP adresy, například 8.8.8.8) nebo rozsah IP adres (ve formátu CIDR, například 8.8.8.4/10).

Rozhraní příkazového řádku

Pokud chcete přidat přístupový seznam IP adres při vytváření nového příjemce, spusťte následující příkaz pomocí rozhraní příkazového řádku Databricksa nahraďte <recipient-name> a hodnoty IP adres.

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Pokud chcete přidat přístupový seznam IP adres k existujícímu příjemci, spusťte následující příkaz a nahraďte <recipient-name> a hodnoty IP adres.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Odebrání přístupového seznamu IP adres

Přístupový seznam IP adres příjemce můžete odebrat pomocí Průzkumníka katalogu nebo rozhraní příkazového řádku katalogu Databricks Unity. Pokud ze seznamu odeberete všechny IP adresy, bude mít příjemce přístup ke sdíleným datům odkudkoli.

Požadovaná oprávnění: Vlastník objektu příjemce.

Průzkumník katalogu

1. V pracovním prostoru Azure Databricks klikněte na ikonu katalogu Katalog.

2. V horní části podokna katalogu klikněte na ikonu ozubeného kola ikonu ozubeného kola a vyberte Delta Sharing.

   Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

3. Na kartě Sdíleno mnou klikněte na Příjemci a vyberte příjemce.

4. Na kartě přístupový seznam IP adres klikněte na ikonu koše vedle IP adresy, kterou chcete odstranit.

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks předejte prázdný přístupový seznam IP adres:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Zobrazení přístupového seznamu IP adres příjemce

Přístupový seznam IP adres příjemce můžete zobrazit pomocí Průzkumníka katalogu, rozhraní příkazového řádku katalogu Databricks Unity nebo příkazu DESCRIBE RECIPIENT SQL v poznámkovém bloku nebo dotazu SQL Databricks.

Požadovaná oprávnění: správce metastoru USE RECIPIENT , uživatel s oprávněním nebo vlastník objektu příjemce.

Průzkumník katalogu

1. V pracovním prostoru Azure Databricks klikněte na ikonu Katalog .

2. V horní části podokna katalogu klikněte na ikonu ozubeného kola ikonu ozubeného kola a vyberte Delta Sharing.

   Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

3. Na kartě Sdíleno mnou klikněte na Příjemci a vyberte příjemce.

4. Zobrazte povolené IP adresy na záložce přístupový seznam IP adres ,.

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz.

databricks recipients get <recipient-name>

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz.

DESCRIBE RECIPIENT <recipient-name>;

Protokolování auditu pro seznamy přístupu IP pro rozdílové sdílení IP adres

Následující operace aktivují protokoly auditu související se seznamy přístupu IP:

• Operace správy příjemců: vytvoření, aktualizace
• Odepření přístupu k žádnému volání rozhraní REST API protokolu Delta Sharing OSS
• Odepření přístupu k adrese URL aktivace rozdílového sdílení (pouze otevřené sdílení)
• Odepření přístupu ke stažení souboru s přihlašovacími údaji sdílení Delta (pouze otevřené sdílení)

Další informace o povolení a čtení protokolů auditu pro rozdílové sdílení najdete v tématu Auditování a monitorování sdílení dat.