Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Deze functie bevindt zich in de bètaversie.
Op deze pagina wordt op kenmerken gebaseerd toegangsbeheer (ABAC) in Unity Catalog beschreven.
Wat is ABAC?
ABAC is een gegevensbeheermodel dat flexibel, schaalbaar en gecentraliseerd toegangsbeheer biedt in Azure Databricks. ABAC vormt een aanvulling op het bestaande bevoegdheidsmodel van Unity Catalog doordat beleidsregels kunnen worden gedefinieerd op basis van beheerde tags, die worden toegepast op gegevensassets. Dit vereenvoudigt governance en versterkt de beveiligingspostuur.
Gebruikers met MANAGE machtigingen of objecteigendom hoeven slechts één keer beleidsregels te definiëren en kunnen ze consistent toepassen op veel gegevensassets. Beleidsregels worden gekoppeld op catalogus-, schema- of tabelniveau en worden automatisch toegepast op alle tabellen binnen dat bereik. Wanneer beleidsregels op hogere niveaus zijn gedefinieerd, worden beleidsregels doorgegeven aan onderliggende objecten. Beheerde tags voor gegevensassets bepalen welke beleidsregels worden afgedwongen, zodat toegangsbeheer dynamisch kan worden aangepast.
Voordelen van ABAC
- Schaalbaarheid: Beheer toegangsbeheer op schaal door gebruik te maken van tags in plaats van afzonderlijke machtigingen.
- Flexibiliteit: Pas eenvoudig governance aan door tags of beleidsregels bij te werken zonder elke gegevensasset te wijzigen.
- Gecentraliseerd beheer: Vereenvoudig beleidsbeheer via een geïntegreerd model dat catalogi, schema's en tabellen omvat.
- Verbeterde beveiliging: Dynamisch afdwingen van fijngranulaire toegangscontrole op basis van gegevenskenmerken.
- Controlebaarheid: Houd realtime inzicht in gegevenstoegang via uitgebreide auditlogboeken.
Hoe ABAC werkt
ABAC in Unity Catalog maakt gebruik van beheerde tags, beleidsregels en door de gebruiker gedefinieerde functies (UDF's) om dynamisch toegangsbeheer op basis van kenmerken af te dwingen. De volgende onderdelen en mechanismen zijn centraal in ABAC:
Beheerde tags: Beheerde tags worden gedefinieerd op accountniveau met behulp van tagbeleid. Deze tags vertegenwoordigen kenmerken zoals gegevensgevoeligheid, classificatie of bedrijfsdomein en worden toegewezen aan tabellen, schema's of catalogi in Unity Catalog. Ze fungeren als de kenmerken die het afdwingen van beleid stimuleren. Zie Tagbeleid en Tags toepassen op beveiligbare objecten van Unity Catalog.
Beleid: Beleidsregels worden gemaakt en beheerd op drie hiërarchische niveaus in Unity Catalog:
- Catalogusniveau: Pas brede beleidsregels toe die van invloed zijn op alle ingesloten schema's en tabellen.
- Schemaniveau: Beleidsregels toepassen die specifiek zijn voor een schema en de bijbehorende tabellen.
- Tabelniveau: Pas nauwkeurig beleid rechtstreeks toe op afzonderlijke tabellen.
Beleidsregels volgen een overnamemodel: wanneer een beleid wordt gedefinieerd op catalogus- of schemaniveau, wordt dit automatisch toegepast op alle onderliggende objecten, schema's en tabellen binnen dat bereik. Hierdoor kunnen beheerders governance met een hoge hefboom implementeren door één beleid toe te passen dat grote sets gegevensassets beheert. Overgenomen beleidsregels verminderen redundantie en bevorderen consistente afdwinging in de gegevenshiërarchie. Databricks raadt aan beleidsregels te definiëren op het hoogste toepasselijke niveau, meestal de catalogus, om de efficiëntie van governance te maximaliseren en administratieve overhead te verminderen. Zie AbAC-beleid (Op kenmerken gebaseerd toegangsbeheer) maken en beheren.
Door de gebruiker gedefinieerde functies (UDF's): UDF's zijn aangepaste functies die zijn gedefinieerd op schemaniveau en kunnen wereldwijd worden verwezen in de Unity Catalog-naamruimte. UDF's worden binnen beleidsregels gebruikt om complexe logica uit te drukken, zoals het filteren van rijen of het maskeren van kolomwaarden op basis van kenmerken. Een UDF met de naam
filter_regionkan bijvoorbeeld worden gebruikt in een rijfilterbeleid om alleen rijen te retourneren waarregion = 'EMEA'. Zie door de gebruiker gedefinieerde functies (UDF's) in Unity Catalog.Dynamische afdwinging: Wanneer een gebruiker probeert toegang te krijgen tot een getagde gegevensasset, evalueert Unity Catalog het toepasselijke beleid op basis van de tags en dwingt de gedefinieerde toegangsbeheer af.
Gebruikers die expliciet zijn uitgesloten van een beleid, kunnen acties blijven uitvoeren, zoals diep en ondiep klonen en tijdreizen op de onderliggende gegevens.
Auditlogboekregistratie: Alle bewerkingen op gelabelde gegevensassets worden vastgelegd en geregistreerd in de tabel van het auditlogboeksysteem, waardoor uitgebreide zichtbaarheid en nalevingstracering mogelijk zijn. Raadpleeg auditlogboeken.
Zie zelfstudie: ABAC configureren voor meer informatie over het configureren van ABAC.
Beleidstypen
Er worden twee typen ABAC-beleid ondersteund:
Beleidsregels voor rijfilters beperken de toegang tot afzonderlijke rijen in een tabel op basis van hun inhoud. Een filter-UDF evalueert of elke rij zichtbaar moet zijn voor een gebruiker. Deze beleidsregels zijn handig wanneer toegang afhankelijk is van gegevenskenmerken.
Voorbeeld van use case: Alleen rijen weergeven in een tabel met klanttransacties waarbij de regiokolom overeenkomt met een beheerde tag, zoals
region=EMEA. Hierdoor kunnen regionale teams alleen gegevens zien die relevant zijn voor hun geografie.Beleidsregels voor kolommaskers bepalen welke waarden gebruikers in specifieke kolommen zien. Een maskerings-UDF kan de werkelijke waarde of een gecensureerde versie retourneren, op basis van beheerde labels.
Voorbeeld van use case: Masker een kolom met telefoonnummers, tenzij de tabel is gelabeld
sensitivity=lowof de gebruiker die de aanvraag indient zich in een nalevingsgroep bevindt. Gebruikers zonder toegang zien een null- of tijdelijke aanduidingswaarde, zoalsXXX-XXX-XXXX.
Zie AbAC-beleid (Op kenmerken gebaseerd toegangsbeheer) maken en beheren.
Bètabeperkingen
De volgende beperkingen zijn van toepassing tijdens de ABAC-previewfasen:
- Een gebruiker die machtigingen heeft
MODIFYvoor een tabel, maar geen machtigingen voor ASSIGN-tagbeleid heeft, kan een kolom met een beheerde tag verwijderen. Hierdoor wordt de tabelstructuur gewijzigd en kan het ABAC-beleid dat is gekoppeld aan die kolom ongeldig worden gemaakt. - De ABAC-bèta is ingeschakeld op werkruimteniveau. Databricks dwingt geen ABAC-beleid af voor catalogi wanneer ze worden geopend vanuit werkruimten die niet zijn ingeschakeld in de bètaversie.
- Gebruikers met de vereiste Machtigingen voor Delta Delen kunnen Delta-tabellen delen die zijn beveiligd door ABAC-beleid, ongeacht hoe het beleid op hen van toepassing is. Het beleid is niet van toepassing op de toegang van de ontvanger.
- Weergaven worden niet ondersteund.
- Buitenlandse catalogi worden niet ondersteund.
- Gerealiseerde weergaven en streamingtabellen worden niet ondersteund.
- Er kan slechts één kolommasker of rijfilter worden toegepast op een bepaalde kolom of rij in de objecthiërarchie. Als u meerdere maskers of filters toepast, is de tabel mogelijk niet toegankelijk.