Поделиться через

Ограничение доступа получателей разностного общего доступа с помощью списков IP-доступа (открытый общий доступ)

  • Статья

В этой статье описывается, как поставщики данных могут назначать списки IP-доступа для управления доступом получателей к общим данным.

Если вы, как поставщик данных, используете открыть протокол Delta Sharing, вы можете ограничить получателя ограниченным набором IP-адресов при доступе к данным, которым вы предоставляете общий доступ. Этот список не зависит от списков IP-адресов рабочего пространства . Поддерживаются только списки разрешений.

Список доступа к IP-адресам влияет на следующее:

  • Доступ REST API протокола REST API для разностного общего доступа к OSS
  • Доступ к URL-адресу активации Delta Share
  • Скачивание файла учетных данных для разностного общего доступа

Каждый получатель поддерживает не более 100 значений IP/CIDR, где один CIDR считается одним значением. Поддерживаются только IPv4-адреса.

Назначение списка IP-доступа получателю

Список доступа к IP-адресам можно назначить получателю с помощью обозревателя каталогов или интерфейса командной строки каталога Databricks Unity.

Разрешения, необходимые: Если вы назначаете список IP-доступа при создании получателя, вы должны быть администратором хранилища метаданных или пользователем с привилегией CREATE_RECIPIENT. Если вы назначаете список IP-доступа существующему получателю, необходимо быть владельцем объекта получателя.

Обозреватель каталогов

  1. В рабочей области Azure Databricks щелкните значок Каталога .

  2. В верхней части области каталога щелкните на значок шестеренки и выберите Delta Sharing.

    Кроме того, на ".

  3. На вкладке "Со мной" щелкните Получатели и выберите получателя.

  4. На вкладке списка IP-доступа нажмите на Добавить IP-адрес/CIDRs для каждого IP-адреса (в формате одного IP-адреса, например, 8.8.8.8) или диапазона IP-адресов (в формате CIDR, например, 8.8.8.4/10).

CLI

Чтобы добавить список доступа к IP-адресам при создании нового получателя, выполните следующую команду с помощью Databricks CLI, заменив <recipient-name> и значения IP-адресов.

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Чтобы добавить список IP-доступа к существующему получателю, выполните следующую команду, заменив <recipient-name> и значения IP-адресов.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Удаление списка доступа к IP-адресам

Список доступа к IP-адресам получателя можно удалить с помощью обозревателя каталогов или интерфейса командной строки каталога Databricks Unity. При удалении всех IP-адресов из списка получатель может получить доступ к общим данным из любого места.

Необходимые разрешения: владелец объекта Recipient.

Обозреватель каталогов

  1. В рабочей области Azure Databricks щелкните значок каталога .

  2. В верхней части области каталога щелкните значок шестеренки и выберите Delta Sharing.

    Кроме того, на ".

  3. На вкладке "Доступ, предоставленный мной" нажмите Получатели и выберите получателя.

  4. На вкладке список IP-доступа щелкните значок корзины рядом с IP-адресом, который требуется удалить.

CLI

Используйте командную строку Databricks CLI , чтобы передать пустой список доступа к IP-адресам.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Просмотр списка IP-доступа получателя

Список доступа к IP-адресам получателя можно просмотреть с помощью обозревателя каталогов, интерфейса командной строки каталога Databricks Unity или команды DESCRIBE RECIPIENT SQL в записной книжке или sql-запросе Databricks.

Необходимые разрешения: администратор хранилища метаданных, пользователь с USE RECIPIENT привилегиями или владельцем объекта получателя.

Обозреватель каталогов

  1. В рабочей области Azure Databricks щелкните значок CatalogCatalog.

  2. В верхней части области каталога щелкните значок шестеренки и выберите Delta Sharing.

    Кроме того, на ".

  3. На вкладке "Предоставленный мной доступ" нажмите Получатели и выберите получателя.

  4. Просмотрите разрешенные IP-адреса на вкладке в списке доступа IP .

CLI

Выполните следующую команду с помощью интерфейса командной строки Databricks.

databricks recipients get <recipient-name>

SQL

Выполните следующую команду в записной книжке или редакторе sql-запросов Databricks.

DESCRIBE RECIPIENT <recipient-name>;

Ведение журнала аудита для списков IP-доступа для разностного доступа

Следующие операции активируют журналы аудита, связанные со списками IP-доступа:

  • Операции управления получателями: создание, обновление
  • Отказ в доступе к любому из вызовов REST API протокола OSS Delta Sharing
  • Отказ в доступе к URL-адресу активации Delta Share (только для открытого доступа)
  • Отказ в доступе к файлу учетных данных Delta Sharing (только для открытого общего доступа)

Дополнительные сведения о включении и чтении журналов аудита для разностного общего доступа см. в статье "Аудит и мониторинг общего доступа к данным".