Limitare l'accesso dei destinatari alla condivisione differenziale usando elenchi di accesso IP (condivisione aperta)
Questo articolo descrive come i provider di dati possono assegnare elenchi di accesso IP per controllare l'accesso dei destinatari ai dati condivisi.
Se si usa il protocollo di condivisione delta aperto , è possibile limitare un destinatario a un set limitato di indirizzi IP quando accedono ai dati condivisi. Questo elenco è indipendente dagli elenchi di accesso IP dell'area di lavoro . Sono supportati solo gli elenchi consentiti.
L'elenco di accesso IP influisce sugli elementi seguenti:
- Accesso all'API REST del protocollo OSS per la condivisione differenziale
- Accesso all'URL di attivazione della condivisione differenziale
- Download del file delle credenziali di condivisione differenziale
Ogni destinatario supporta un massimo di 100 valori IP/CIDR, in cui un CIDR viene conteggiato come singolo valore. Sono supportati solo gli indirizzi IPv4.
Assegnare un elenco di accesso IP a un destinatario
È possibile assegnare un elenco di accesso IP a un destinatario usando Esplora cataloghi o l'interfaccia della riga di comando di Databricks Unity Catalog.
Autorizzazioni necessarie: se si assegna un elenco di accesso IP quando si crea un destinatario, è necessario essere un amministratore o un utente del metastore con il privilegio CREATE_RECIPIENT. Se si assegna un elenco di accesso IP a un destinatario esistente, è necessario essere il proprietario dell'oggetto destinatario.
Explorer del catalogo
Nell'area di lavoro di Azure Databricks, fare clic su l'icona
Catalogo.Nella parte superiore del riquadro Catalogo, fare clic sull'icona
e selezionare Condivisione Delta.In alternativa, nella pagina Accesso rapido fare clic sul pulsante condivisione delta >.
Nella scheda Condivisi da me fare clic su Destinatari e selezionare il destinatario.
Nella scheda elenco di accesso IP , fare clic su Aggiungi indirizzo IP/CIDR per ogni indirizzo IP (in formato di indirizzo IP singolo, ad esempio 8.8.8.8) o intervallo di indirizzi IP (in formato CIDR, ad esempio 8.8.8.4/10).
CLI
Per aggiungere un elenco di accesso IP quando si crea un nuovo destinatario, eseguire il comando seguente usando l'interfaccia della riga di comando di Databricks , sostituendo <recipient-name> e i valori dell'indirizzo IP.
databricks recipients create \
--json=-'{
"name": "<recipient-name>",
"authentication_type": "<authentication-type>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
Per aggiungere un elenco di accesso IP a un destinatario esistente, eseguire il comando seguente, sostituendo <recipient-name> e i valori dell'indirizzo IP.
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
Rimuovere un elenco di accesso IP
È possibile rimuovere l'elenco di accesso IP di un destinatario usando Esplora cataloghi o l'interfaccia della riga di comando di Databricks Unity Catalog. Se si rimuovono tutti gli indirizzi IP dall'elenco, il destinatario può accedere ai dati condivisi da qualsiasi posizione.
Autorizzazioni necessarie: proprietario dell'oggetto destinatario.
Esplora cataloghi
Nell'area di lavoro di Azure Databricks fare clic sull'icona
Catalogo.Nella parte superiore del riquadro Catalogo, fare clic sull'icona a forma di ingranaggio
e selezionare Condivisione Delta .In alternativa, nella pagina Accesso rapido fare clic sul pulsante condivisione delta >.
Nella scheda Condivisi da me fare clic su Destinatari e selezionare il destinatario.
Nella scheda elenco di accesso IP, clicca sull'icona del cestino accanto all'indirizzo IP che desideri eliminare.
CLI
Usa il Databricks CLI per passare una lista di accesso IP vuota.
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {}
}'
Visualizzare l'elenco di accesso IP di un destinatario
È possibile visualizzare l'elenco di accesso IP di un destinatario utilizzando Catalog Explorer, l'interfaccia della riga di comando del Catalogo Unity di Databricks, oppure il comando SQL DESCRIBE RECIPIENT in un notebook o una query SQL di Databricks.
Autorizzazioni necessarie: amministratore metastore, utente con privilegi USE RECIPIENT o proprietario dell'oggetto destinatario.
Esploratore di catalogo
Nell'area di lavoro di Azure Databricks fare clic sull'icona
Catalog.Nella parte superiore del riquadro
Catalogo , fare clic sull'icona a forma di ingranaggioe selezionare Condivisione Delta .In alternativa, nella pagina Accesso rapido fare clic sul pulsante condivisione delta >.
Nella scheda Condivisi da me fare clic su Destinatari e selezionare il destinatario.
Visualizzare gli indirizzi IP consentiti nella scheda della lista di accesso IP
.
CLI
Eseguire il comando seguente usando la CLI di Databricks.
databricks recipients get <recipient-name>
SQL
Eseguire il seguente comando in un notebook o nell'editor di query SQL di Databricks.
DESCRIBE RECIPIENT <recipient-name>;
Registrazione di controllo per gli elenchi di accesso IP di condivisione differenziale
Le operazioni seguenti attivano i log di controllo correlati agli elenchi di accesso IP:
- Operazioni di gestione dei destinatari: creare, aggiornare
- Negazione dell'accesso a una delle chiamate ALL'API REST del protocollo OSS per la condivisione differenziale
- Negazione dell'accesso all'URL di attivazione della condivisione delta (solo condivisione aperta)
- Negazione dell'accesso al download delle credenziali di condivisione delta (solo condivisione aperta)
Per altre informazioni su come abilitare e leggere i log di controllo per la condivisione delta, vedere Controllare e monitorare la condivisione dei dati.