Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il controllo di accesso in Unity Catalog è basato sui modelli complementari seguenti:
- Privilegi e proprietà controllano chi può accedere a cosa, usando le concessioni per gli oggetti a protezione diretta.
- I criteri basati su attributi controllano i dati a cui gli utenti possono accedere, usando tag regolati e criteri centralizzati.
- I filtri a livello di tabella e la maschera controllano quali dati gli utenti possono visualizzare all'interno di tabelle usando filtri e viste specifici della tabella.
- Le restrizioni a livello di area di lavorocontrollano dove gli utenti possono accedere ai dati limitando gli oggetti a aree di lavoro specifiche.
Questi modelli interagiscono per applicare l'accesso sicuro con granularità fine nell'ambiente dati.
Quando usare ogni meccanismo di controllo di accesso
Le associazioni, i privilegi e i criteri ABAC dell'area di lavoro valutano tutti l'accesso a livelli diversi e sono progettati per essere usati insieme. La tabella seguente li confronta con i criteri comuni di controllo di accesso:
Annotazioni
Databricks consiglia di usare il controllo degli accessi in base all'attributo per centralizzare e ridimensionare il controllo degli accessi in base ai tag regolamentati. Usare filtri di riga e maschere di colonna solo quando è necessaria la logica per tabella o non è ancora stato adottato il controllo degli accessi basato sugli attributi.
| Meccanismo | Si applica a | È definito tramite | Caso di utilizzo |
|---|---|---|---|
| Privilegi | Cataloghi, schemi, tabelle | Sovvenzioni (GRANT, REVOKE), proprietà |
Accesso e delega di base |
| Criteri di controllo degli accessi in base al ruolo | Oggetti contrassegnati (tabelle, schemi) | Politiche con tag gestiti e funzioni definite dall'utente | Criteri centralizzati, basati su tag e imposizione dinamica |
| Filtri di riga/colonna a livello di tabella | Singole tabelle | Funzioni definite dall'utente (FDU) nella tabella stessa | Filtraggio o mascheramento specifico della tabella |
| Collegamenti dell'area di lavoro | Cataloghi, posizioni esterne, credenziali di archiviazione | Assegnazione dell'area di lavoro | Limitazione dell'accesso agli oggetti da aree di lavoro specifiche |
Modello di autorizzazioni
| Argomento | Description |
|---|---|
| Concetti relativi alle autorizzazioni | Comprendere la gerarchia degli oggetti del catalogo Unity, l'ereditarietà dei privilegi e il modo in cui l'accesso passa dagli oggetti padre a figlio. |
| Informazioni di riferimento sui privilegi | Visualizzare descrizioni dettagliate di ogni privilegio in Unity Catalog. |
| Ruoli di amministratore | Informazioni sui ruoli di amministratore dell'account, amministratore dell'area di lavoro e amministratore del metastore e sui rispettivi ambiti. |
Gestire l'accesso
| Argomento | Description |
|---|---|
| Gestire i privilegi | Concedere, revocare ed esaminare i privilegi per gli oggetti del catalogo Unity usando Esplora cataloghi e SQL. |
| Richieste di accesso | Configurare le destinazioni per le richieste di accesso sugli oggetti di Unity Catalog che possono essere protetti, incluse email, Slack, Microsoft Teams e webhook. |
| Associazione del catalogo dell'area di lavoro | Limitare le aree di lavoro che possono accedere a cataloghi, posizioni esterne e credenziali di archiviazione specifiche. |
Accesso ai dati con granularità fine
| Argomento | Description |
|---|---|
| Controllo degli accessi in base all'attributo | Definire criteri centralizzati basati su tag che filtrano e mascherano in modo dinamico i dati nel catalogo. |
| Filtri di riga e maschere di colonna | Applicare filtri di riga e colonna per tabella usando funzioni definite dall'utente per controllare i dati visualizzati dagli utenti in fase di query. |