Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Zugriffssteuerung im Unity-Katalog basiert auf den folgenden ergänzenden Modellen:
- Die Kontrolle von Berechtigungen und Besitz bestimmt, wer auf was zugreifen kann, durch die Vergabe von Berechtigungen an sicherungsfähige Objekte.
- Attributbasierte Richtlinien (ABAC) steuern , auf welche Daten Benutzer zugreifen können, indem Sie geregelte Tags und zentralisierte Richtlinien verwenden.
- Filterung und Maskierung auf Tabellenebene steuern , welche Daten Benutzer in Tabellen mithilfe tabellenspezifischer Filter und Ansichten sehen können.
- Einschränkungen auf Arbeitsbereichsebene steuern , wo Benutzer auf Daten zugreifen können, indem Sie Objekte auf bestimmte Arbeitsbereiche beschränken.
Diese Modelle arbeiten zusammen, um sicheren, differenzierten Zugriff in Ihrer Datenumgebung zu erzwingen.
Wann jeder Zugriffssteuerungsmechanismus verwendet werden soll
Arbeitsbereichsbindungen, Berechtigungen und ABAC-Richtlinien bewerten den Zugriff auf verschiedenen Ebenen und sind für die gemeinsame Verwendung konzipiert. In der folgenden Tabelle werden diese anhand allgemeiner Kriterien der Zugriffssteuerung verglichen.
Note
Databricks empfiehlt die Verwendung der attributbasierten Zugriffssteuerung (Access Control, ABAC), um die Zugriffssteuerung basierend auf gesteuerten Tags zu zentralisieren und zu skalieren. Verwenden Sie Zeilenfilter und Spaltenmasken nur, wenn Sie tabellenspezifische Logik benötigen oder ABAC noch nicht übernommen haben.
| Mechanismen | Gilt für | Definiert mithilfe von | Anwendungsfall |
|---|---|---|---|
| Rechte | Kataloge, Schemas, Tabellen | Zuschüsse (GRANT, REVOKE), Eigentum |
Basiszugriff und Berechtigungsübertragung |
| ABAC-Richtlinien | Markierte Objekte (Tabellen, Schemas) | Richtlinien mit gesteuerten Tags und UDFs | Zentralisierte, taggesteuerte Richtlinien und dynamische Durchsetzung |
| Zeilen-/Spaltenfilter auf Tabellenebene | Einzelne Tabellen | UDFs in der Tabelle selbst | Tabellenspezifische Filterung oder Maskierung |
| Arbeitsbereichsbindungen | Kataloge, externe Speicherorte, Speicheranmeldeinformationen | Arbeitsbereichszuweisung | Einschränken des Zugriffs auf Objekte aus bestimmten Arbeitsbereichen |
Berechtigungsmodell
| Thema | Description |
|---|---|
| Berechtigungskonzepte | Verstehen Sie die Unity Catalog-Objekthierarchie, die Berechtigungsvererbung und wie der Zugriff von Eltern- zu Kindobjekten weitergegeben wird. |
| Berechtigungsreferenz | Detaillierte Beschreibungen aller Berechtigungen im Unity-Katalog anzeigen. |
| Administratorrollen | Erfahren Sie mehr über Kontoadministrator-, Arbeitsbereichsadministrator- und Metastore-Administratorrollen und deren Bereiche. |
Zugriff verwalten
| Thema | Description |
|---|---|
| Berechtigungen verwalten | Gewähren, Widerrufen und Überprüfen von Berechtigungen für Unity-Katalogobjekte mithilfe des Katalog-Explorers und SQL. |
| Zugriffsanforderungen | Konfigurieren Sie Ziele für Zugriffsanforderungen für sicherungsfähige Unity-Katalog-Objekte, einschließlich E-Mail, Slack, Teams und Webhooks. |
| Arbeitsbereich-Katalog-Bindung | Einschränken, welche Arbeitsbereiche auf bestimmte Kataloge, externe Speicherorte und Speicheranmeldeinformationen zugreifen können. |
Feinkörniger Datenzugriff
| Thema | Description |
|---|---|
| Attributbasierte Zugriffssteuerung (ABAC) | Definieren Sie zentralisierte, taggesteuerte Richtlinien, die Daten dynamisch in Ihrem Katalog filtern und maskieren. |
| Zeilenfilter und Spaltenmasken | Wenden Sie Zeilen- und Spaltenfilter pro Tabelle mithilfe von UDFs an, um zu steuern, welche Daten Benutzer zur Abfragezeit sehen. |