Einschränken des OpenSharing-Empfängerzugriffs mithilfe von IP-Zugriffslisten (Databricks-to-Open-Freigabe)

In diesem Artikel wird beschrieben, wie Datenanbieter IP-Zugriffslisten zuweisen, um den Empfängerzugriff auf freigegebene Daten zu steuern.

Wenn Sie als Datenanbieter das Databricks-to-Open-Freigabeprotokoll verwenden, können Sie einen Empfänger auf einen eingeschränkten Satz von IP-Adressen beschränken, wenn er auf von Ihnen freigegebene Daten zugreift. Diese Liste ist von IP-Zugriffslisten für Arbeitsbereiche unabhängig. Es werden nur Positivlisten unterstützt.

Die IP-Zugriffsliste wirkt sich auf Folgendes aus:

  • OpenSharing OSS Protocol REST API-Zugriff
  • OpenSharing-Aktivierungs-URL-Zugriff
  • OpenSharing-Anmeldeinformationsdatei herunterladen

Note

Wenn der Anbieter SecureConnect aktiviert hat, erzwingt die IP-Zugriffsliste auch den Zugriff auf freigegebene Datenspeicher. Ohne SecureConnect sind Speicher-URLs unabhängig von der IP-Zugriffsliste von jeder Client-IP erreichbar.

Jeder Empfänger unterstützt maximal 100 IP/CIDR-Werte, wobei ein CIDR als einzelner Wert zählt. Es werden nur IPv4-Adressen unterstützt.

Zuweisen einer IP-Zugriffsliste zu einem Empfänger

Sie können einem Empfänger mithilfe des Katalog-Explorers oder der Databricks Unity Catalog-CLI eine IP-Zugriffsliste zuweisen.

Erforderliche Berechtigungen: Wenn Sie beim Erstellen eines Empfängers eine IP-Zugriffsliste zuweisen, müssen Sie über die CREATE RECIPIENT Berechtigung verfügen. Wenn Sie einem vorhandenen Empfänger eine IP-Zugriffsliste zuweisen, müssen Sie der Besitzer des Empfängerobjekts sein.

Katalog-Explorer

  1. Klicken Sie im Azure Databricks-Arbeitsbereich auf das Datensymbol.Katalog.

  2. Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol und wählen Sie OpenSharing aus.

    Alternativ klicken Sie oben rechts auf Teilen > OpenSharing.

  3. Klicken Sie auf der Registerkarte Von mir freigegeben auf Empfänger, und wählen Sie den Empfänger aus.

  4. Klicken Sie auf der Registerkarte IP-Zugriffsliste für jede IP-Adresse (im Format einer einzelnen IP-Adresse, z. B. 8.8.8.8) oder einen Bereich von IP-Adressen (im CIDR-Format, z. B. 8.8.8.4/10) auf IP-Adresse/CIDRs hinzufügen.

CLI

Um eine IP-Zugriffsliste beim Erstellen eines neuen Empfängers hinzuzufügen, führen Sie den folgenden Befehl mithilfe der Databricks CLI aus, und ersetzen Sie dabei <recipient-name> und die IP-Adresswerte.

databricks recipients create \
--json=-'{
  "name": "<recipient-name>",
  "authentication_type": "<authentication-type>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Um einem vorhandenen Empfänger eine IP-Zugriffsliste hinzuzufügen, führen Sie den folgenden Befehl aus, und ersetzen Sie dabei <recipient-name> und die IP-Adresswerte.

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {
    "allowed_ip_addresses": [
      "8.8.8.8",
      "8.8.8.4/10"
    ]
  }
}'

Entfernen einer IP-Zugriffsliste

Sie können die IP-Zugriffsliste eines Empfängers mithilfe des Katalog-Explorers oder der Databricks Unity Catalog CLI entfernen. Wenn Sie alle IP-Adressen aus der Liste entfernen, kann der Empfänger von jedem Ort aus auf die freigegebenen Daten zugreifen.

Erforderliche Berechtigungen: Besitzer des Empfängerobjekts

Katalog-Explorer

  1. Klicken Sie im Azure Databricks-Arbeitsbereich auf das Datensymbol.Katalog.

  2. Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol und wählen Sie OpenSharing aus.

    Alternativ klicken Sie oben rechts auf Teilen > OpenSharing.

  3. Klicken Sie auf der Registerkarte Von mir freigegeben auf Empfänger, und wählen Sie den Empfänger aus.

  4. Klicken Sie auf der Registerkarte IP-Zugriffsliste auf das Papierkorbsymbol neben der IP-Adresse, die Sie löschen möchten.

CLI

Verwenden Sie die Databricks CLI, um eine leere IP-Zugriffsliste zu übergeben:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "ip_access_list": {}
}'

Anzeigen der IP-Zugriffsliste eines Empfängers

Sie können die IP-Zugriffsliste eines Empfängers mithilfe des Katalog-Explorers, der Cli des Databricks Unity Catalog oder des DESCRIBE RECIPIENT SQL-Befehls in einem Notizbuch oder einer SQL-Abfrage von Databricks anzeigen.

Erforderliche Berechtigungen: Metastore-Administrator, Benutzer mit den USE RECIPIENT-Berechtigungen oder Empfängerobjektbesitzer.

Katalog-Explorer

  1. Klicken Sie im Azure Databricks-Arbeitsbereich auf das Datensymbol.Katalog.

  2. Klicken Sie oben im Bereich Katalog auf das Zahnradsymbol und wählen Sie OpenSharing aus.

    Alternativ klicken Sie oben rechts auf Teilen > OpenSharing.

  3. Klicken Sie auf der Registerkarte Von mir freigegeben auf Empfänger, und wählen Sie den Empfänger aus.

  4. Zeigen Sie zulässige IP-Adressen auf der Registerkarte IP-Zugriffsliste an.

CLI

Führen Sie über die Databricks-CLI den folgenden Befehl aus.

databricks recipients get <recipient-name>

SQL

Führen Sie in einem Notebook oder im Databricks SQL-Abfrage-Editor den folgenden Befehl aus.

DESCRIBE RECIPIENT <recipient-name>;

Überwachungsprotokollierung für OpenSharing-IP-Zugriffslisten

Die folgenden Vorgänge lösen Überwachungsprotokolle aus, die sich auf IP-Zugriffslisten beziehen:

  • Verwaltungsvorgänge für Empfänger: Erstellen, Aktualisieren
  • Verweigerung des Zugriffs auf einen der OpenSharing OSS Protocol REST-API-Aufrufe
  • Verweigerung des Zugriffs auf die OpenSharing-Aktivierungs-URL (nur für Databricks-zu-OpenSharing)
  • Verweigerung des Zugriffs auf den Download der OpenSharing-Anmeldedatendatei (nur für die Databricks-zu-Open-Freigabe)

Weitere Informationen dazu, wie Überwachungsprotokolle für OpenSharing aktiviert und gelesen werden können, finden Sie unter Überprüfen und Überwachen der Datenfreigabe.

  • Last updated on