使用 IP 访问列表限制 Delta Sharing 接收者访问权限(开放共享)
本文介绍了数据提供者如何分配 IP 访问列表来控制接收者对共享数据的访问权限。
如果你以数据提供者的身份使用开放 Delta Sharing 协议,可以在接收者访问你共享的数据时将其限制为通过一组受限的 IP 地址进行访问。 此列表独立于工作区 IP 访问列表。 仅支持允许列表。
IP 访问列表会影响以下操作:
- Delta Sharing OSS 协议 REST API 访问
- Delta Sharing 激活 URL 访问
- Delta Sharing 凭据文件下载
每个接收方最多支持 100 个 IP/CIDR 值,其中一个 CIDR 算作一个值。 仅支持 IPv4 地址。
将 IP 访问列表分配给接收者
可以使用目录资源管理器或 Databricks Unity Catalog CLI 将 IP 访问列表分配给接收者。
所需的权限:如果在创建接收者时分配 IP 访问列表,则你需是元存储管理员或拥有 CREATE_RECIPIENT
特权的用户。 如果要将 IP 访问列表分配给现有接收者,则你需是接收者对象所有者。
目录资源管理器
在 Azure Databricks 工作区中,单击 “目录”。
在“目录”窗格顶部,单击 齿轮图标,然后选择“Delta Sharing”。
或者,在“快速访问”页中,单击“Delta Sharing”> 按钮。
在“与我共享的内容”选项卡上,单击“收件人”并选择收件人。
在“IP 访问列表”选项卡上,单击每个 IP 地址(采用单一 IP 地址格式,例如 8.8.8.8)或 IP 地址范围(采用 CIDR 格式,例如 8.8.8.4/10)对应的“添加 IP 地址/CIDR”。
CLI
若要在创建新接收者时添加 IP 访问列表,请使用 Databricks CLI 运行以下命令(需替换其中的 <recipient-name>
和 IP 地址值)。
databricks recipients create \
--json=-'{
"name": "<recipient-name>",
"authentication_type": "<authentication-type>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
若要将 IP 访问列表添加到现有接收者,请运行以下命令(需替换其中的 <recipient-name>
和 IP 地址值)。
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {
"allowed_ip_addresses": [
"8.8.8.8",
"8.8.8.4/10"
]
}
}'
删除 IP 访问列表
可以使用目录资源管理器或 Databricks Unity Catalog CLI 删除接收者的 IP 访问列表。 如果你从列表中删除所有 IP 地址,则接收者可以从任何位置访问共享的数据。
所需的权限:接收者对象所有者。
目录资源管理器
在 Azure Databricks 工作区中,单击 “目录”。
在“目录”窗格顶部,单击 齿轮图标,然后选择“Delta Sharing”。
或者,在“快速访问”页中,单击“Delta Sharing”> 按钮。
在“与我共享的内容”选项卡上,单击“收件人”并选择收件人。
在“IP 访问列表”选项卡上,单击要删除的 IP 地址旁边的垃圾桶图标。
CLI
使用 Databricks CLI 传入一个空的 IP 访问列表:
databricks recipients update \
--json='{
"name": "<recipient-name>",
"ip_access_list": {}
}'
查看接收者的 IP 访问列表
可以使用目录资源管理器、Databricks Unity Catalog CLI 来查看接收者的 IP 访问列表,也可以在笔记本或 Databricks SQL 查询中使用 DESCRIBE RECIPIENT
SQL 命令来查看。
所需的权限:元存储管理员、拥有 USE RECIPIENT
特权的用户,或接收者对象所有者。
目录资源管理器
在 Azure Databricks 工作区中,单击 “目录”。
在“目录”窗格顶部,单击 齿轮图标,然后选择“Delta Sharing”。
或者,在“快速访问”页中,单击“Delta Sharing”> 按钮。
在“与我共享的内容”选项卡上,单击“收件人”并选择收件人。
在“IP 访问列表”选项卡上查看允许的 IP 地址。
CLI
使用 Databricks CLI 运行以下命令。
databricks recipients get <recipient-name>
SQL
在笔记本或 Databricks SQL 查询编辑器中运行以下命令。
DESCRIBE RECIPIENT <recipient-name>;
Delta Sharing IP 访问列表的审核日志记录
以下操作会触发与 IP 访问列表相关的审核日志:
- 接收方管理操作:创建、更新
- 拒绝访问任何增量共享 OSS 协议 REST API 调用
- 拒绝访问 Delta Sharing 激活 URL(仅限开放共享)
- 拒绝访问 Delta Sharing 凭据文件下载(仅限开放共享)
要详细了解如何启用和读取增量共享的审核日志,请参阅审核和监视数据共享。