Compartir a través de

Control de acceso basado en atributos (ABAC) de Unity Catalog

Importante

Esta característica se encuentra en su versión beta.

En esta página se describe el control de acceso basado en atributos (ABAC) en el catálogo de Unity.

¿Qué es ABAC?

ABAC es un modelo de gobernanza de datos que proporciona control de acceso flexible, escalable y centralizado en Azure Databricks. ABAC complementa el modelo de privilegios existente del Catálogo de Unity al permitir que las directivas se definan en función de las etiquetas reguladas, que se aplican a los recursos de datos. Esto simplifica la gobernanza y refuerza la posición de seguridad.

Los usuarios con MANAGE permisos o propiedad de objetos solo necesitan definir directivas una vez y pueden aplicarlas de forma coherente en muchos recursos de datos. Las directivas se adjuntan en el nivel de catálogo, esquema o tabla y se aplican automáticamente a todas las tablas dentro de ese ámbito. Cuando se definen en niveles superiores, las políticas se heredan hacia abajo a los objetos secundarios. Las etiquetas reguladas en los recursos de datos determinan qué directivas se aplican, lo que permite que el control de acceso se adapte dinámicamente.

Ventajas de ABAC

  • Escalabilidad: Administre los controles de acceso a escala aprovechando etiquetas en lugar de permisos individuales.
  • Flexibilidad: Ajuste fácilmente la gobernanza mediante la actualización de etiquetas o directivas sin modificar cada recurso de datos.
  • Gobernanza centralizada: Simplifique la administración de directivas a través de un modelo unificado que abarque catálogos, esquemas y tablas.
  • Seguridad mejorada: Aplique controles de acceso específicos de forma dinámica en función de los atributos de datos.
  • Auditabilidad: Mantenga la visibilidad en tiempo real del acceso a los datos a través de registros de auditoría completos.

Funcionamiento de ABAC

ABAC en el catálogo de Unity usa etiquetas, directivas y funciones definidas por el usuario (UDF) reguladas para aplicar el control de acceso dinámico basado en atributos. Los siguientes componentes y mecanismos son fundamentales para ABAC:

  • Etiquetas reguladas: Las etiquetas reguladas se definen en el nivel de cuenta mediante directivas de etiquetas. Estas etiquetas representan atributos como la confidencialidad de datos, la clasificación o el dominio empresarial, y se asignan a tablas, esquemas o catálogos en el catálogo de Unity. Sirven como atributos que impulsan la aplicación de directivas. Consulte Directivas de etiquetas y Aplicar etiquetas a objetos protegibles del catálogo de Unity.

  • Políticas: Las directivas se crean y administran en tres niveles jerárquicos en el catálogo de Unity:

    • Nivel de catálogo: Aplique políticas amplias que afecten a todos los esquemas y tablas contenidos.
    • Nivel de esquema: Aplicar directivas específicas de un esquema y sus tablas.
    • Nivel de tabla: Aplique directivas específicas directamente en tablas individuales.

    Las directivas siguen un modelo de herencia: cuando se define una directiva en el nivel de catálogo o esquema, se aplica automáticamente a todos los objetos secundarios, esquemas y tablas dentro de ese ámbito. Esto permite a los administradores implementar una gobernanza de gran aprovechamiento aplicando una sola directiva que rige grandes conjuntos de recursos de datos. Las directivas heredadas reducen la redundancia y promueven la aplicación coherente en toda la jerarquía de datos. Databricks recomienda definir directivas en el nivel más alto aplicable, normalmente el catálogo, para maximizar la eficiencia de gobernanza y reducir la sobrecarga administrativa. Consulte Creación y administración de directivas de control de acceso basado en atributos (ABAC).

  • Funciones definidas por el usuario (UDF): Las UDF son funciones personalizadas definidas en el nivel de esquema y se pueden hacer referencia a ellas globalmente en el espacio de nombres del catálogo de Unity. Las UDF se usan dentro de directivas para expresar lógica compleja, como filtrar filas o enmascarar valores de columna en función de los atributos. Por ejemplo, una UDF denominada filter_region podría usarse en una directiva de filtro de fila para devolver solo filas donde region = 'EMEA'. Consulte Funciones definidas por el usuario (UDF) en Unity Catalog.

  • Cumplimiento dinámico: Cuando un usuario intenta acceder a un recurso de datos etiquetado, El catálogo de Unity evalúa las directivas aplicables en función de las etiquetas y aplica los controles de acceso definidos.

    Los usuarios que se excluyen explícitamente de una directiva pueden seguir realizando acciones como la clonación profunda y superficial y el viaje de tiempo en los datos subyacentes.

  • Registro de auditoría: Todas las operaciones de los recursos de datos etiquetados se capturan y registran en la tabla del sistema de registro de auditoría, lo que permite un seguimiento completo de visibilidad y cumplimiento. Consulte Registros de auditoría.

Para obtener información sobre cómo configurar ABAC, consulte Tutorial: Configuración de ABAC.

Tipos de directiva

Se admiten dos tipos de políticas de ABAC:

  • Las directivas de filtro de fila restringen el acceso a filas individuales de una tabla en función de su contenido. Una UDF de filtro evalúa si cada fila debe estar visible para un usuario. Estas directivas son útiles cuando el acceso depende de las características de los datos.

    Caso de uso de ejemplo: Solo se muestran filas en una tabla de transacciones de cliente donde la columna de región coincide con una etiqueta regulada, como region=EMEA. Esto permite a los equipos regionales ver solo los datos relevantes para su geografía.

  • Las directivas de máscara de columna controlan qué valores ven los usuarios en columnas específicas. Una UDF de enmascaramiento puede devolver el valor real o una versión redactada, en función de las etiquetas reguladas.

    Caso de uso de ejemplo: Enmascara una columna que contiene números de teléfono a menos que la tabla se etiquete sensitivity=low o el usuario solicitante se encuentra en un grupo de cumplimiento. Los usuarios sin acceso ven un valor null o un marcador de posición como XXX-XXX-XXXX.

Consulte Creación y administración de directivas de control de acceso basado en atributos (ABAC).

Limitaciones de la versión beta

Las limitaciones siguientes se aplican durante las fases de la versión preliminar de ABAC:

  • Un usuario que tenga MODIFY permisos en una tabla pero que no tenga permisos de directiva de etiquetas ASSIGN puede eliminar una columna que lleva una etiqueta regulada. Esto modifica la estructura de la tabla y podría invalidar la directiva de ABAC vinculada a esa columna.
  • La versión beta de ABAC está habilitada al nivel del área de trabajo. Databricks no aplica directivas de ABAC en catálogos cuando se accede a ellas desde áreas de trabajo no habilitadas en la versión beta.
  • Los usuarios con los permisos necesarios de Delta Sharing pueden compartir tablas aseguradas por políticas de ABAC, independientemente de cómo estas políticas les afecten. La directiva no rige el acceso del destinatario.
  • No se admiten vistas.
  • No se admiten catálogos externos.
  • No se admiten vistas materializadas ni tablas de streaming.
  • Solo se puede aplicar una máscara de columna o filtro de fila a una columna o fila determinada dentro de la jerarquía de objetos. Aplicar varias máscaras o filtros puede hacer que la tabla no sea accesible.