Řízení přístupu v katalogu Unity

Řízení přístupu v katalogu Unity je postavené na následujících doplňkových modelech:

  • Oprávnění a vlastnictví řídí , kdo má přístup k čemu, pomocí grantů u zabezpečitelných objektů.
  • Zásady založené na atributech (ABAC) řídí, k jakým datům mají uživatelé přístup, pomocí řídicích značek a centralizovaných zásad.
  • Filtrování a maskování na úrovni tabulky řídí , jaká data můžou uživatelé vidět v tabulkách pomocí filtrů a zobrazení specifických pro tabulky.
  • Omezení na úrovni pracovního prostoru určují, kde uživatelé mají přístup k datům, tím, že omezí objekty na konkrétní pracovní prostory.

Tyto modely spolupracují na vynucování zabezpečeného a jemně odstupňovaného přístupu v datovém prostředí.

Kdy použít každý mechanismus řízení přístupu

Vazby pracovních prostorů, oprávnění a zásady ABAC vyhodnocují přístup na různých úrovních a jsou navržené tak, aby se používaly společně. Následující tabulka je porovnává s běžnými kritérii řízení přístupu:

Note

Databricks doporučuje používat řízení přístupu na základě atributů (ABAC) k centralizaci a škálování řízení přístupu na základě řídicích značek. Filtry řádků a masky sloupců používejte jenom v případě, že potřebujete logiku pro jednotlivé tabulky nebo jste ještě ABAC nepřijali.

Mechanismus Platí pro Definováno pomocí Případ použití
Privilegia Katalogy, schémata, tabulky Granty (GRANT, REVOKE), vlastnictví Základní přístup a delegování
Zásady ABAC Označené objekty (tabulky, schémata) Zásady s řízenými značkami a uživatelsky definovanými funkcemi Centralizované zásady řízené značkami a dynamické vynucování
Filtry řádků a sloupců na úrovni tabulky Jednotlivé tabulky Definované funkce v samotné tabulce Filtrování nebo maskování specifické pro tabulku
Vazby pracovního prostoru Katalogy, externí lokace, přihlašovací údaje úložiště Přiřazení pracovního prostoru Omezení přístupu k objektům z konkrétních pracovních prostorů

Model oprávnění

Téma Description
Koncepty oprávnění Seznamte se s hierarchií objektů katalogu Unity, dědičností oprávnění a s tím, jak přístup prochází z nadřazených objektů do podřízených objektů.
Referenční informace o oprávněních Prohlédněte si podrobné popisy všech oprávnění v katalogu Unity.
Role správce Přečtěte si o rolích správce účtu, správci pracovního prostoru a rolích správců metastoru a jejich oborech.

Správa přístupu

Téma Description
Správa oprávnění Udělení, odvolání a kontrola oprávnění k objektům katalogu Unity pomocí Průzkumníka katalogu a SQL
Žádosti o přístup Nakonfigurujte cíle pro žádosti o přístup k zabezpečitelným objektům katalogu Unity, včetně e-mailu, Slacku, Teams a webhooků.
Propojení katalogu a pracovního prostoru Omezte, které pracovní prostory mají přístup ke konkrétním katalogům, externím umístěním a přihlašovacím údajům úložiště.

Jemně odstupňovaný přístup k datům

Téma Description
Řízení přístupu na základě atributů (ABAC) Definujte centralizované zásady řízené značkami, které dynamicky filtrují a maskují data v katalogu.
Filtry řádků a masky sloupců Použijte filtry řádků a sloupců pro jednotlivé tabulky pomocí funkcí definovaných uživatelem k řízení dat, která uživatelé vidí v době dotazu.