次の方法で共有

IP アクセス リストを使用して Delta Sharing の受信者のアクセスを制限する (オープン共有)

  • [アーティクル]

この記事では、データ プロバイダーが共有データへの受信者アクセスを制御するために IP アクセス リストを割り当てる方法について説明します。

オープン Delta Sharing プロトコルを使用するデータ プロバイダーは、受信者が共有するデータにアクセスするときに、限定的な IP アドレスのセットに制限できます。 このリストは、ワークスペース IP アクセス リストとは無関係です。 許可リストのみがサポートされています。

IP アクセス リストは、以下に影響します。

  • Delta Sharing OSS プロトコル REST API アクセス
  • Delta Sharing アクティブ化 URL アクセス
  • Delta Sharing 資格情報ファイルのダウンロード

各受信者では最大 100 個の IP/CIDR 値がサポートされています。この場合、1 つの CIDR は 1 つの値としてカウントされます。 サポートされているのは、IPv4 アドレスのみです。

IP アクセス リストを受信者に割り当てる

カタログ エクスプローラーまたは Databricks Unity Catalog CLI を使用して、IP アクセス リストを受信者に割り当てることができます。

必要なアクセス許可: 受信者の作成時に IP アクセス リストを割り当てる場合は、メタストア管理者または CREATE_RECIPIENT 権限を持つユーザーである必要があります。 既存の受信者に IP アクセス リストを割り当てる場合は、受信者オブジェクト所有者である必要があります。

カタログ エクスプローラー

  1. Azure Databricks ワークスペースで、カタログ アイコン [カタログ] をクリックします。

  2. [カタログ] ペインの上部にある 歯車アイコン 歯車アイコンをクリックし、[Delta Sharing] を選択します。

    または、[クイック アクセス] ページで、[Delta Sharing >] ボタンをクリックします。

  3. [自分と共有] タブで、[受信者] をクリックし、受信者を選択します。

  4. [IP access list] (IP アクセス リスト) タブで、各 IP アドレス (8.8.8.8.8 などの単一の IP アドレス形式) または IP アドレスの範囲 (8.8.8.4/10 などの CIDR 形式) について、[Add IP address/CIDRs] (IP アドレス/CIDR の追加) をクリックします。

CLI

新しい受信者を作成するときに IP アクセス リストを追加するには、Databricks CLI を使用して次のコマンドを実行します。<recipient-name> と IP アドレスの値は置き換えます。

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

既存の受信者に IP アクセス リストを追加するには、次のコマンドを実行します。<recipient-name> と IP アドレスの値は置き換えます。

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

IP アクセス リストを削除する

カタログ エクスプローラーまたは Databricks Unity Catalog CLI を使用して、受信者の IP アクセス リストを削除できます。 リストからすべての IP アドレスを削除すると、受信者はどこからでも共有データにアクセスできます。

必要なアクセス許可: 受信者オブジェクト所有者。

カタログ エクスプローラー

  1. Azure Databricks ワークスペースで、カタログ アイコン [カタログ] をクリックします。

  2. [カタログ] ペインの上部にある 歯車アイコン 歯車アイコンをクリックし、[Delta Sharing] を選択します。

    または、[クイック アクセス] ページで、[Delta Sharing >] ボタンをクリックします。

  3. [自分と共有] タブで、[受信者] をクリックし、受信者を選択します。

  4. [IP access list] (IP アクセス リスト) タブで、削除する IP アドレスの横にあるごみ箱アイコンをクリックします。

CLI

Databricks CLI を使用して、空の IP アクセス リストを渡します。

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

受信者の IP アクセス リストを表示する

ノートブックまたは Databricks SQL クエリで、カタログ エクスプローラー、Databricks Unity Catalog CLI、または DESCRIBE RECIPIENT SQL コマンドを使用して、受信者の IP アクセス リストを表示できます。

必要なアクセス許可: メタストア管理者、USE RECIPIENT 特権を持つユーザー、または受信者オブジェクト所有者。

カタログ エクスプローラー

  1. Azure Databricks ワークスペースで、カタログ アイコン [カタログ] をクリックします。

  2. [カタログ] ペインの上部にある 歯車アイコン 歯車アイコンをクリックし、[Delta Sharing] を選択します。

    または、[クイック アクセス] ページで、[Delta Sharing >] ボタンをクリックします。

  3. [自分と共有] タブで、[受信者] をクリックし、受信者を選択します。

  4. [IP access list] (IP アクセス リスト) タブで、許可されている IP アドレスを表示します。

CLI

Databricks CLI を使用して次のコマンドを実行します。

databricks recipients get <recipient-name>

SQL

ノートブックまたは Databricks SQL クエリ エディターで次のコマンドを実行します。

DESCRIBE RECIPIENT <recipient-name>;

Delta Sharing IP アクセス リストの監査ログ

次の操作により、IP アクセス リストに関連する監査ログがトリガーされます。

  • 受信者の管理操作: 作成、更新
  • Delta Sharing OSS プロトコル REST API 呼び出しへのアクセス拒否
  • Delta Sharing アクティブ化 URL へのアクセス拒否 (オープン共有のみ)
  • Delta Sharing 資格情報ファイルのダウンロードへのアクセス拒否 (オープン共有のみ)

Delta Sharing の監査ログを有効にして読み取る方法の詳細については、「データ共有の監査と監視」を参照してください。