Compartilhar via

Restringir o acesso do destinatário do Delta Sharing usando listas de acesso IP (compartilhamento aberto)

  • Artigo

Este artigo descreve como os provedores de dados podem atribuir listas de acesso IP para controlar o acesso dos destinatários aos dados compartilhados.

Se você, como provedor de dados, estiver usando o protocolo aberto Delta Sharing, poderá limitar um destinatário a um conjunto restrito de endereços IP quando eles acessarem os dados que você compartilha. Essa lista é independente das listas de acesso de IP do workspace. Há suporte apenas para listas de permissões.

A lista de acesso de IP afeta o seguinte:

  • Acesso à API REST do Protocolo OSS do Delta Sharing
  • Acesso à URL de ativação do Delta Sharing
  • Download do arquivo de credencial do Delta Sharing

Cada destinatário dá suporte a um máximo de 100 valores de IP/CIDR, em que uma CIDR conta como um único valor. Há suporte somente para endereços IPv4.

Atribuir uma lista de acesso de IP a um destinatário

Você pode atribuir uma lista de acesso de IP a um destinatário usando o Explorador de Catálogos ou a CLI do Catálogo do Unity do Databricks.

Permissões necessárias: se você estiver atribuindo uma lista de acesso de IP ao criar um destinatário, precisará ser um administrador do metastore ou um usuário com o privilégio CREATE_RECIPIENT. Se você estiver atribuindo uma lista de acesso de IP a um destinatário existente, precisará ser o proprietário do objeto do destinatário.

Explorador do Catálogo

  1. No workspace do Azure Databricks, clique em Ícone do catálogo Catálogo.

  2. Na parte superior do painel Catálogo, clique no ícone de engrenagem ícone de engrenagem e selecione Compartilhamento Delta.

    Como alternativa, na página Acesso rápido, clique no botão Compartilhamento Delta >.

  3. Na guia Compartilhado por mim, clique em Destinatários e selecione o destinatário.

  4. Na guia lista de acesso de IP, clique em Adicionar endereços IP/CIDRs para cada endereço IP (no formato de endereço IP único, como 8.8.8.8) ou intervalo de endereços IP (no formato CIDR, como 8.8.8.4/10).

CLI

Para adicionar uma lista de acesso de IP ao criar um destinatário, execute o comando a seguir usando a CLI do Databricks, substituindo <recipient-name> e os valores de endereço IP.

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Para adicionar uma lista de acesso de IP a um destinatário existente, execute o comando a seguir, substituindo <recipient-name> e os valores de endereço IP.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Remover uma lista de acesso de IP

Você pode remover uma lista de acesso de IP de um destinatário usando o Explorador de Catálogos ou a CLI do Catálogo do Unity do Databricks. Se você remover todos os endereços IP da lista, o destinatário poderá acessar os dados compartilhados de qualquer lugar.

Permissões necessárias: proprietário do objeto do destinatário.

Explorador do Catálogo

  1. No workspace do Azure Databricks, clique em Ícone do catálogo Catálogo.

  2. Na parte superior do painel Catálogo, clique no ícone de engrenagem ícone de engrenagem e selecione Compartilhamento Delta.

    Como alternativa, na página Acesso rápido, clique no botão Compartilhamento Delta >.

  3. Na guia Compartilhado por mim, clique em Destinatários e selecione o destinatário.

  4. Na guia lista de acesso de IP, clique no ícone de lixeira ao lado do endereço IP que você deseja excluir.

CLI

Use a CLI do Databricks para passar qualquer lista de acesso de IP vazia:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Exibir a lista de acesso de IP de um destinatário

Você pode exibir a lista de acesso de IP de um destinatário usando o Explorador de Catálogos, a CLI do Catálogo do Unity do Databricks ou o comando SQL DESCRIBE RECIPIENT em um notebook ou uma consulta SQL do Databricks.

Permissões necessárias: Administrador do metastore, usuário com o privilégio USE RECIPIENT ou o proprietário do objeto do destinatário.

Explorador do Catálogo

  1. No workspace do Azure Databricks, clique em Ícone do catálogo Catálogo.

  2. Na parte superior do painel Catálogo, clique no ícone de engrenagem ícone de engrenagem e selecione Compartilhamento Delta.

    Como alternativa, na página Acesso rápido, clique no botão Compartilhamento Delta >.

  3. Na guia Compartilhado por mim, clique em Destinatários e selecione o destinatário.

  4. Exiba os endereços IP permitidos na guia lista de acesso de IP.

CLI

Execute o comando a seguir usando a CLI do Databricks.

databricks recipients get <recipient-name>

SQL

Execute o comando a seguir em um notebook ou no editor de SQL do Databricks.

DESCRIBE RECIPIENT <recipient-name>;

Log de auditoria para listas de acesso de IP do Delta Sharing

As seguintes operações disparam logs de auditoria relacionados a listas de acesso de IP:

  • Operações de gerenciamento de destinatários: criar, atualizar
  • Negação de acesso a qualquer uma das chamadas à API REST do Protocolo OSS de compartilhamento Delta
  • Negação de acesso à URL de ativação do Delta Sharing (somente compartilhamento aberto)
  • Negação de acesso ao download do arquivo de credencial do Delta Sharing (somente compartilhamento aberto)

Para saber mais sobre como habilitar e ler os logs de auditoria do Compartilhamento Delta, consulte Auditar e monitorar o compartilhamento de dados.