使用 IP 访问列表限制 Delta Sharing 接收者访问权限(开放共享)

本文介绍了数据提供者如何分配 IP 访问列表来控制接收者对共享数据的访问权限。

如果你以数据提供者的身份使用开放 Delta Sharing 协议,可以在接收者访问你共享的数据时将其限制为通过一组受限的 IP 地址进行访问。 此列表独立于工作区 IP 访问列表。 仅支持允许列表。

IP 访问列表会影响以下操作:

  • Delta Sharing OSS 协议 REST API 访问
  • Delta Sharing 激活 URL 访问
  • Delta Sharing 凭据文件下载

每个接收方最多支持 100 个 IP/CIDR 值,其中一个 CIDR 算作一个值。 仅支持 IPv4 地址。

将 IP 访问列表分配给接收者

可以使用目录资源管理器或 Databricks Unity Catalog CLI 将 IP 访问列表分配给接收者。

所需的权限:如果在创建接收者时分配 IP 访问列表,则你需是元存储管理员或拥有 CREATE_RECIPIENT 特权的用户。 如果要将 IP 访问列表分配给现有接收者,则你需是接收者对象所有者。

目录资源管理器

  1. 在 Azure Databricks 工作区中,单击 “目录”图标目录”。

  2. 在“目录”窗格顶部,单击 齿轮图标 齿轮图标,然后选择“Delta Sharing”

    或者,在“快速访问”页中,单击“Delta Sharing”> 按钮。

  3. 在“与我共享的内容”选项卡上,单击“收件人”并选择收件人。

  4. 在“IP 访问列表”选项卡上,单击每个 IP 地址(采用单一 IP 地址格式,例如 8.8.8.8)或 IP 地址范围(采用 CIDR 格式,例如 8.8.8.4/10)对应的“添加 IP 地址/CIDR”。

CLI

若要在创建新接收者时添加 IP 访问列表,请使用 Databricks CLI 运行以下命令(需替换其中的 <recipient-name> 和 IP 地址值)。

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

若要将 IP 访问列表添加到现有接收者,请运行以下命令(需替换其中的 <recipient-name> 和 IP 地址值)。

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

删除 IP 访问列表

可以使用目录资源管理器或 Databricks Unity Catalog CLI 删除接收者的 IP 访问列表。 如果你从列表中删除所有 IP 地址,则接收者可以从任何位置访问共享的数据。

所需的权限:接收者对象所有者。

目录资源管理器

  1. 在 Azure Databricks 工作区中,单击 “目录”图标目录”。

  2. 在“目录”窗格顶部,单击 齿轮图标 齿轮图标,然后选择“Delta Sharing”

    或者,在“快速访问”页中,单击“Delta Sharing”> 按钮。

  3. 在“与我共享的内容”选项卡上,单击“收件人”并选择收件人。

  4. 在“IP 访问列表”选项卡上,单击要删除的 IP 地址旁边的垃圾桶图标。

CLI

使用 Databricks CLI 传入一个空的 IP 访问列表:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

查看接收者的 IP 访问列表

可以使用目录资源管理器、Databricks Unity Catalog CLI 来查看接收者的 IP 访问列表,也可以在笔记本或 Databricks SQL 查询中使用 DESCRIBE RECIPIENT SQL 命令来查看。

所需的权限:元存储管理员、拥有 USE RECIPIENT 特权的用户,或接收者对象所有者。

目录资源管理器

  1. 在 Azure Databricks 工作区中,单击 “目录”图标目录”。

  2. 在“目录”窗格顶部,单击 齿轮图标 齿轮图标,然后选择“Delta Sharing”

    或者,在“快速访问”页中,单击“Delta Sharing”> 按钮。

  3. 在“与我共享的内容”选项卡上,单击“收件人”并选择收件人。

  4. 在“IP 访问列表”选项卡上查看允许的 IP 地址。

CLI

使用 Databricks CLI 运行以下命令。

databricks recipients get <recipient-name>

SQL

在笔记本或 Databricks SQL 查询编辑器中运行以下命令。

DESCRIBE RECIPIENT <recipient-name>;

Delta Sharing IP 访问列表的审核日志记录

以下操作会触发与 IP 访问列表相关的审核日志:

  • 接收方管理操作:创建、更新
  • 拒绝访问任何增量共享 OSS 协议 REST API 调用
  • 拒绝访问 Delta Sharing 激活 URL(仅限开放共享)
  • 拒绝访问 Delta Sharing 凭据文件下载(仅限开放共享)

要详细了解如何启用和读取增量共享的审核日志,请参阅审核和监视数据共享