Поделиться через

Ограничение доступа получателей разностного общего доступа с помощью списков IP-доступа (открытый общий доступ)

  • Статья

В этой статье описывается, как поставщики данных могут назначать списки IP-доступа для управления доступом получателей к общим данным.

Если вы используете открытый протокол Delta Sharing, вы можете ограничить получателя ограниченным набором IP-адресов при доступе к общим данным. Этот список не зависит от списков IP-адресов рабочей области. Поддерживаются только списки разрешений.

Список доступа к IP-адресам влияет на следующее:

  • Доступ REST API протокола REST API для разностного общего доступа к OSS
  • Доступ к URL-адресу активации Delta Share
  • Скачивание файла учетных данных для разностного общего доступа

Каждый получатель поддерживает не более 100 значений IP/CIDR, где одно значение CIDR представляет одно значение. Поддерживаются только IPv4-адреса.

Назначение списка IP-доступа получателю

Список доступа к IP-адресам можно назначить получателю с помощью обозревателя каталогов или интерфейса командной строки каталога Databricks Unity.

Необходимые разрешения. Если при создании получателя назначается список доступа к IP-адресам, необходимо быть администратором хранилища метаданных или пользователем с CREATE_RECIPIENT привилегиями. Если вы назначаете список IP-доступа существующему получателю, необходимо быть владельцем объекта получателя.

Обозреватель каталогов

  1. В рабочей области Azure Databricks щелкните Значок каталога "Каталог".

  2. В верхней части области каталога щелкните Значок шестеренки значок шестеренки и выберите delta Sharing.

    Кроме того, на странице быстрого доступа нажмите кнопку "Разностный общий доступ>".

  3. На вкладке "Общий доступ" щелкните "Получатели " и выберите получателя.

  4. На вкладке списка доступа к IP-адресам щелкните " Добавить IP-адрес/CIDRs " для каждого IP-адреса (в формате одного IP-адреса, например 8.8.8.8.8) или диапазон IP-адресов (в формате CIDR, например 8.8.8.4/10).

CLI

Чтобы добавить список доступа к IP-адресам при создании нового получателя, выполните следующую команду с помощью интерфейса командной строки Databricks, заменив <recipient-name> и значения IP-адресов.

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Чтобы добавить список IP-доступа к существующему получателю, выполните следующую команду, заменив <recipient-name> и значения IP-адресов.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Удаление списка доступа к IP-адресам

Список доступа к IP-адресам получателя можно удалить с помощью обозревателя каталогов или интерфейса командной строки каталога Databricks Unity. При удалении всех IP-адресов из списка получатель может получить доступ к общим данным из любого места.

Необходимые разрешения: владелец объекта Recipient.

Обозреватель каталогов

  1. В рабочей области Azure Databricks щелкните Значок каталога "Каталог".

  2. В верхней части области каталога щелкните Значок шестеренки значок шестеренки и выберите delta Sharing.

    Кроме того, на странице быстрого доступа нажмите кнопку "Разностный общий доступ>".

  3. На вкладке "Общий доступ" щелкните "Получатели " и выберите получателя.

  4. На вкладке списка доступа к IP-адресам щелкните значок корзины рядом с IP-адресом, который требуется удалить.

CLI

Используйте интерфейс командной строки Databricks для передачи в пустой список доступа к IP-адресам:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Просмотр списка IP-доступа получателя

Список доступа к IP-адресам получателя можно просмотреть с помощью обозревателя каталогов, интерфейса командной строки каталога Databricks Unity или DESCRIBE RECIPIENT команды SQL в записной книжке или sql-запросе Databricks.

Необходимые разрешения: администратор хранилища метаданных, пользователь с USE RECIPIENT привилегиями или владельцем объекта получателя.

Обозреватель каталогов

  1. В рабочей области Azure Databricks щелкните Значок каталога "Каталог".

  2. В верхней части области каталога щелкните Значок шестеренки значок шестеренки и выберите delta Sharing.

    Кроме того, на странице быстрого доступа нажмите кнопку "Разностный общий доступ>".

  3. На вкладке "Общий доступ" щелкните "Получатели " и выберите получателя.

  4. Просмотр разрешенных IP-адресов на вкладке списка доступа к IP-адресам.

CLI

Выполните следующую команду с помощью интерфейса командной строки Databricks.

databricks recipients get <recipient-name>

SQL

Выполните следующую команду в записной книжке или редакторе sql-запросов Databricks.

DESCRIBE RECIPIENT <recipient-name>;

Ведение журнала аудита для списков IP-доступа для разностного доступа

Следующие операции активируют журналы аудита, связанные со списками IP-доступа:

  • Операции управления получателями: создание, обновление
  • Отказ в доступе к любому из вызовов REST API протокола OSS Delta Sharing
  • Отказ в доступе к URL-адресу активации Delta Share (только для открытого доступа)
  • Отказ в доступе к файлу учетных данных Delta Sharing (только для открытого общего доступа)

Дополнительные сведения о включении и чтении журналов аудита для разностного общего доступа см. в статье "Аудит и мониторинг общего доступа к данным".