Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Halaman ini memiliki gambaran umum kontrol akses di Unity Catalog, termasuk hak istimewa, kebijakan, dan kontrol tingkat data.
Lapisan kontrol akses
Kontrol akses di Unity Catalog dibangun pada model pelengkap berikut:
- Kontrol pembatasan tingkat ruang kerjadi mana pengguna dapat mengakses data, dengan membatasi objek ke ruang kerja tertentu.
- Hak akses dan kepemilikan mengontrol siapa yang dapat mengakses apa, menggunakan pemberian akses pada objek yang dapat diamankan.
- Kebijakan berbasis atribut (ABAC) mengontrol apa yang dapat diakses pengguna data, menggunakan tag yang diatur dan kebijakan terpusat.
- Pemfilteran dan masking tingkat tabel mengontrol data apa yang dapat dilihat pengguna di dalam tabel menggunakan filter dan tampilan khusus tabel.
Model-model ini bekerja sama untuk memberlakukan akses yang aman dan terperindas di seluruh lingkungan data Anda.
| Lapisan | Tujuan | Mekanisme |
|---|---|---|
| Pembatasan tingkat ruang kerja | Membatasi ruang kerja mana yang dapat mengakses katalog tertentu, lokasi eksternal, dan kredensial penyimpanan | Pengikatan tingkat ruang kerja |
| Hak istimewa dan kepemilikan | Mengontrol akses ke katalog, skema, tabel, dan objek lainnya | Hak istimewa diberikan kepada pengguna dan grup, kepemilikan objek |
| Kebijakan berbasis atribut | Menggunakan tag dan kebijakan untuk menerapkan filter dan masker secara dinamis | Kebijakan ABAC dan tag yang diatur |
| Pemfilteran dan masking di tingkat tabel | Mengontrol data apa yang dapat dilihat pengguna dalam tabel | Filter baris, masker kolom, tampilan dinamis |
Pembatasan tingkat ruang kerja
Batas pengikatan ruang kerja mana di akun Anda yang dapat mengakses katalog tertentu, lokasi eksternal, dan kredensial penyimpanan. Kontrol akses ini terjadi di tingkat ruang kerja dan berlaku terlepas dari hak istimewa pengguna atau grup.
Secara default, semua katalog, lokasi eksternal, dan kredensial penyimpanan di Unity Catalog dapat diakses dari ruang kerja apa pun yang dilampirkan ke metastore yang sama. Menggunakan pengikatan, Anda dapat:
- Membatasi akses ke satu atau beberapa ruang kerja yang ditunjuk
- Mengatur akses katalog menjadi baca-saja untuk beberapa ruang kerja
- Mengisolasi lingkungan, misalnya, membatasi data produksi ke ruang kerja produksi
- Membatasi penggunaan lokasi eksternal dan kredensial penyimpanan ke ruang kerja tertentu
Pengikatan ini menggantikan izin tingkat pengguna. Jika pengguna memiliki hak istimewa pada objek tetapi mencoba mengaksesnya dari ruang kerja yang tidak terikat, akses ditolak.
Untuk informasi selengkapnya, lihat Membatasi akses katalog ke ruang kerja tertentu.
Hak istimewa dan kepemilikan
Akses di Unity Catalog terutama diatur oleh hak istimewa dan kepemilikan objek. Model ini menentukan siapa yang dapat mengakses atau mengelola data dan metadata dengan menetapkan peran admin dan dengan memberikan hak istimewa dan mengelola kepemilikan di seluruh objek yang dapat diamankan. Bagian ini menjelaskan bagaimana hak istimewa diberikan, cara kerja kepemilikan, dan peran admin mana yang dapat mengelola akses di berbagai cakupan.
Peran admin
Unity Catalog mendukung beberapa peran admin:
- Admin akun: Dapat membuat metastore, mengelola identitas, menetapkan admin metastore, dan mengelola fitur tingkat akun seperti Berbagi Delta dan tabel sistem.
-
Admin metastore: Peran opsional tetapi kuat yang dapat mengelola semua objek di metastore, mentransfer kepemilikan, dan menetapkan hak istimewa tingkat atas seperti
CREATE CATALOG,CREATE EXTERNAL LOCATION, dan banyak lagi. - Administrator ruang kerja: Mengelola identitas, pengaturan di tingkat ruang kerja, dan katalog ruang kerja.
Untuk detailnya, lihat Hak istimewa admin di Unity Catalog.
Kepemilikan objek
Setiap objek yang dapat diamankan, seperti katalog, skema, atau tabel, di Unity Catalog memiliki pemilik. Kepemilikan memberikan kontrol penuh atas objek tersebut, termasuk kemampuan untuk:
- Membaca atau mengubah objek dan metadatanya
- Memberikan hak istimewa kepada pengguna lain
- Mentransfer kepemilikan ke prinsipal lain
Unity Catalog juga mendukung MANAGE hak istimewa, yang memungkinkan pengguna untuk memberikan akses dan memodifikasi objek tanpa menjadikannya pemilik.
Untuk informasi selengkapnya tentang kepemilikan, lihat Mengelola kepemilikan objek Katalog Unity.
Hak istimewa pada objek yang dapat diamankan
Di Unity Catalog, kontrol akses dimulai dengan hak istimewa. Anda menetapkan hak istimewa seperti SELECT, , MODIFYdan USE SCHEMA untuk pengguna dan grup pada objek yang dapat diamankan seperti katalog, skema, tabel, tampilan, volume, dan fungsi.
Penegakan hak istimewa adalah:
- Hierarki: Memberikan hak pada objek tingkat yang lebih tinggi, seperti katalog, berdampak pada objek tingkat lebih rendah, seperti tabel.
- Dapat didelegasikan: Setiap objek memiliki pemilik yang dapat mengelolanya dan memberikan akses kepada orang lain.
- Eksplisit: Akses hanya diizinkan ketika pengguna atau grup telah diberikan hak istimewa yang sesuai. Pengguna diberikan kombinasi izin dari semua grup tempat mereka menjadi anggota.
Pengguna dapat meminta akses ke objek yang dapat mereka temukan, baik melalui BROWSE hak istimewa atau URL langsung ke objek, atau ketika mereka mengalami kesalahan yang ditolak izin di notebook atau editor SQL. Databricks merekomendasikan pemberian BROWSE katalog ke All account users grup untuk membuat objek dapat ditemukan dan memungkinkan pengguna untuk meminta akses. Permintaan akses dikirim ke tujuan yang dikonfigurasi, seperti email, Slack, Microsoft Teams, titik akhir webhook, atau URL pengalihan. Jika tidak ada tujuan yang dikonfigurasi, pengguna tidak dapat meminta akses ke objek.
Untuk informasi selengkapnya, lihat Mengelola hak istimewa di Katalog Unity dan hak istimewa Katalog Unity dan objek yang dapat diamankan.
Penembolokan izin untuk akses berbasis jalur
Untuk meningkatkan performa akses berbasis jalur ke penyimpanan cloud, Unity Catalog mungkin menyimpan hasil pemeriksaan izin hingga 60 detik per pengguna dan jalur. Penyimpanan sementara ini berlaku untuk:
- Operasi pada sistem file menggunakan perintah
dbutils.fs - Kueri berbasis jalur menggunakan Spark SQL
Karena perilaku caching ini, pemberian atau pencabutan izin mungkin tidak langsung terlihat. Perilaku ini hanya memengaruhi akses berbasis jalur. Akses berbasis nama (misalnya, SELECT * FROM catalog.schema.table) tidak terpengaruh oleh cache ini.
Kontrol akses berbasis atribut (ABAC)
Penting
Fitur ini ada di Pratinjau Umum.
ABAC adalah kerangka kerja kebijakan berbasis tag terpusat untuk memberlakukan kontrol akses di Unity Catalog. Ini memungkinkan admin untuk menentukan kebijakan yang dapat diskalakan yang berlaku secara dinamis di seluruh katalog, skema, dan tabel berdasarkan tag yang diatur. Kebijakan dapat memfilter data atau menutupi nilai sensitif. Databricks merekomendasikan penggunaan ABAC untuk tata kelola terpusat dan dapat diskalakan, daripada menerapkan filter atau masker satu per satu pada setiap tabel.
ABAC dirancang sebagai kerangka kerja tujuan umum untuk menerapkan kebijakan kontrol akses berdasarkan atribut metadata. Ini melengkapi kontrol berbasis hak istimewa dan mendukung penegakan halus tanpa memerlukan konfigurasi per objek.
Fitur utama:
- Kebijakan berbasis tag: Tentukan kebijakan sekali menggunakan tag yang diatur dan fungsi yang ditentukan pengguna (UDF), dan terapkan secara konsisten di banyak aset data.
- Penegakan hierarkis: Terapkan kebijakan di tingkat katalog, skema, atau tabel dengan pewarisan otomatis ke objek anak.
- Tata kelola terpusat dan dapat diskalakan: Mengelola akses dalam skala besar tanpa menetapkan hak istimewa individual pada setiap objek.
- Evaluasi dinamis: Keputusan akses dievaluasi secara real time berdasarkan tag dan konteks pengguna.
Untuk informasi selengkapnya, lihat Kontrol akses berbasis atribut Katalog Unity (ABAC).
Pemfilteran dan masking di tingkat tabel
Bagian ini mencakup mekanisme yang mengontrol apa yang dapat dilihat pengguna data pada waktu kueri menggunakan logika khusus tabel. Ini termasuk:
- Filter baris dan masker kolom: terapkan logika langsung ke tabel.
- Tampilan dinamis: tentukan logika menggunakan SQL di atas satu atau beberapa tabel.
Pendekatan ini dapat digunakan secara independen atau bersama ABAC, tergantung pada model tata kelola Anda.
Filter baris dan masker kolom
Filter baris dan masker kolom menerapkan logika filter atau masker langsung ke tabel individual menggunakan UDF. Ini berguna ketika Anda ingin menerapkan logika per tabel tanpa manajemen kebijakan terpusat.
Untuk informasi selengkapnya, lihat Filter baris dan masker kolom.
Tampilan dinamis
Tampilan dinamis memungkinkan Anda menentukan logika melalui satu atau beberapa tabel menggunakan SQL. Mereka hanya baca dan berguna untuk:
- Menerapkan logika transformasi (misalnya penggabungan dan pernyataan
CASE) - Berbagi data yang difilter menggunakan Delta Sharing, yang ABAC tidak didukung.
Untuk detailnya, lihat Membuat tampilan dinamis.
Kapan menggunakan setiap mekanisme kontrol akses
Pengikatan ruang kerja, hak istimewa, dan kebijakan ABAC semuanya mengevaluasi akses pada tingkat yang berbeda, dan dirancang untuk digunakan bersama-sama. Tabel berikut membandingkannya di seluruh kriteria kontrol akses umum:
Nota
Databricks merekomendasikan penggunaan ABAC untuk memusatkan dan menskalakan kontrol akses berdasarkan tag yang diatur. Gunakan filter baris dan masker kolom hanya saat Anda memerlukan logika per tabel atau belum mengadopsi ABAC.
| Mekanisme | Berlaku pada | Ditentukan menggunakan | Skenario penggunaan |
|---|---|---|---|
| Pengikatan ruang kerja | Katalog, lokasi eksternal, kredensial penyimpanan | Penetapan ruang kerja | Membatasi akses ke objek dari ruang kerja tertentu |
| Hak istimewa | Katalog, skema, tabel | Pemberian (GRANT, REVOKE), kepemilikan |
Akses dan delegasi garis besar |
| Kebijakan ABAC | Objek bertanda (tabel, skema) | Kebijakan yang diatur dengan tag dan UDF | Kebijakan terpusat dan berbasis tag dan penerapan dinamis |
| Filter baris/kolom tingkat tabel | Tabel individual | UDF pada tabel itu sendiri | Pemfilteran atau masking khusus tabel |
| Tampilan dinamis | Tampilan di atas satu atau beberapa tabel | SQL (dengan filter atau masker yang disematkan) | Akses hanya baca, logika kompleks, Delta Sharing |