Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Řízení přístupu v katalogu Unity je postavené na následujících doplňkových modelech:
- Oprávnění a vlastnictví řídí , kdo má přístup k čemu, pomocí grantů u zabezpečitelných objektů.
- Zásady založené na atributech (ABAC) řídí, k jakým datům mají uživatelé přístup, pomocí řídicích značek a centralizovaných zásad.
- Filtrování a maskování na úrovni tabulky řídí , jaká data můžou uživatelé vidět v tabulkách pomocí filtrů a zobrazení specifických pro tabulky.
- Omezení na úrovni pracovního prostoru určují, kde uživatelé mají přístup k datům, tím, že omezí objekty na konkrétní pracovní prostory.
Tyto modely spolupracují na vynucování zabezpečeného a jemně odstupňovaného přístupu v datovém prostředí.
Kdy použít každý mechanismus řízení přístupu
Vazby pracovních prostorů, oprávnění a zásady ABAC vyhodnocují přístup na různých úrovních a jsou navržené tak, aby se používaly společně. Následující tabulka je porovnává s běžnými kritérii řízení přístupu:
Note
Databricks doporučuje používat řízení přístupu na základě atributů (ABAC) k centralizaci a škálování řízení přístupu na základě řídicích značek. Filtry řádků a masky sloupců používejte jenom v případě, že potřebujete logiku pro jednotlivé tabulky nebo jste ještě ABAC nepřijali.
| Mechanismus | Platí pro | Definováno pomocí | Případ použití |
|---|---|---|---|
| Privilegia | Katalogy, schémata, tabulky | Granty (GRANT, REVOKE), vlastnictví |
Základní přístup a delegování |
| Zásady ABAC | Označené objekty (tabulky, schémata) | Zásady s řízenými značkami a uživatelsky definovanými funkcemi | Centralizované zásady řízené značkami a dynamické vynucování |
| Filtry řádků a sloupců na úrovni tabulky | Jednotlivé tabulky | Definované funkce v samotné tabulce | Filtrování nebo maskování specifické pro tabulku |
| Vazby pracovního prostoru | Katalogy, externí lokace, přihlašovací údaje úložiště | Přiřazení pracovního prostoru | Omezení přístupu k objektům z konkrétních pracovních prostorů |
Model oprávnění
| Téma | Description |
|---|---|
| Koncepty oprávnění | Seznamte se s hierarchií objektů katalogu Unity, dědičností oprávnění a s tím, jak přístup prochází z nadřazených objektů do podřízených objektů. |
| Referenční informace o oprávněních | Prohlédněte si podrobné popisy všech oprávnění v katalogu Unity. |
| Role správce | Přečtěte si o rolích správce účtu, správci pracovního prostoru a rolích správců metastoru a jejich oborech. |
Správa přístupu
| Téma | Description |
|---|---|
| Správa oprávnění | Udělení, odvolání a kontrola oprávnění k objektům katalogu Unity pomocí Průzkumníka katalogu a SQL |
| Žádosti o přístup | Nakonfigurujte cíle pro žádosti o přístup k zabezpečitelným objektům katalogu Unity, včetně e-mailu, Slacku, Teams a webhooků. |
| Propojení katalogu a pracovního prostoru | Omezte, které pracovní prostory mají přístup ke konkrétním katalogům, externím umístěním a přihlašovacím údajům úložiště. |
Jemně odstupňovaný přístup k datům
| Téma | Description |
|---|---|
| Řízení přístupu na základě atributů (ABAC) | Definujte centralizované zásady řízené značkami, které dynamicky filtrují a maskují data v katalogu. |
| Filtry řádků a masky sloupců | Použijte filtry řádků a sloupců pro jednotlivé tabulky pomocí funkcí definovaných uživatelem k řízení dat, která uživatelé vidí v době dotazu. |