Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfada Ayrıcalıklar, ilkeler ve veri düzeyi denetimleri de dahil olmak üzere Unity Kataloğu'ndaki erişim denetimine genel bir bakış sağlanır.
Erişim denetimi katmanları
Unity Kataloğu'ndaki erişim denetimi aşağıdaki tamamlayıcı modeller üzerine kurulmuştur:
- Çalışma alanı düzeyindeki kısıtlamalar , nesneleri belirli çalışma alanlarıyla sınırlayarak kullanıcıların verilere nerede erişebileceğini denetler.
- Ayrıcalıklar ve sahiplik , güvenli hale getirilebilir nesnelerdeki izinleri kullanarak kimlerinneye erişebileceğini denetler.
- Öznitelik tabanlı ilkeler (ABAC), yönetilen etiketleri ve merkezi ilkeleri kullanarak kullanıcıların hangi verilere erişebileceğini denetler.
- Tablo düzeyinde filtreleme ve maskeleme, tabloya özgü filtreleri ve görünümleri kullanarak kullanıcıların tablolarda hangi verileri görebileceğini denetler.
Bu modeller, veri ortamınızda güvenli ve ayrıntılı erişimi zorunlu kılmak için birlikte çalışır.
| Katman | Amaç | Mekanizmalar |
|---|---|---|
| Çalışma alanı düzeyi kısıtlamaları | Belirli kataloglara, dış konumlara ve depolama kimlik bilgilerine erişebilecek çalışma alanlarını sınırlama | Çalışma alanı düzeyinde bağlamalar |
| Ayrıcalıklar ve sahiplik | Kataloglara, şemalara, tablolara ve diğer nesnelere erişimi denetleme | Kullanıcılara ve gruplara ayrıcalık verme, nesne sahipliği |
| Öznitelik tabanlı ilkeler | Filtreleri ve maskeleri dinamik olarak uygulamak için etiketleri ve ilkeleri kullanma | ABAC ilkeleri ve yönetilen etiketler |
| Tablo düzeyinde filtreleme ve maskeleme | Kullanıcıların tablolarda hangi verileri görebileceğini denetleme | Satır filtreleri, sütun maskeleri, dinamik görünümler |
Çalışma alanı düzeyi kısıtlamaları
Çalışma alanı bağlaması, hesabınızdaki hangi çalışma alanlarının belirli kataloglara, dış konumlara ve depolama kimlik bilgilerine erişebileceğini sınırlar. Bu erişim denetimi çalışma alanı düzeyinde gerçekleşir ve kullanıcı veya grup ayrıcalıklarından bağımsız olarak uygulanır.
Varsayılan olarak, Unity Kataloğu'ndaki tüm kataloglara, dış konumlara ve depolama kimlik bilgilerine aynı meta veri deposuna bağlı tüm çalışma alanlarından erişilebilir. Bağlamaları kullanarak şunları yapabilirsiniz:
- Belirlenen bir veya daha fazla çalışma alanına erişimi kısıtlama
- Katalog erişimini belirli çalışma alanlarından salt okunur yapma
- Ortamları yalıtma, örneğin üretim verilerini üretim çalışma alanlarıyla sınırlama
- Dış konumların ve depolama kimlik bilgilerinin kullanımını belirli çalışma alanlarıyla sınırlama
Bu bağlamalar kullanıcı düzeyi izinlerini geçersiz kılar. Bir kullanıcının nesne üzerinde ayrıcalıkları varsa ancak nesneye ilişkisiz bir çalışma alanından erişmeye çalışırsa erişim reddedilir.
Daha fazla bilgi için bkz. Katalog erişiminibelirli çalışma alanlarıyla sınırlama.
Ayrıcalıklar ve sahiplik
Unity Kataloğu'nda erişim öncelikli olarak ayrıcalıklara ve nesne sahipliğine tabidir. Bu model, yönetici rolleri atayarak ve ayrıcalıklar vererek ve güvenliği sağlanabilir nesneler arasında sahipliği yöneterek verilere ve meta verilere kimlerin erişebileceğini veya bunları yönetebileceğini tanımlar. Bu bölümde ayrıcalıkların nasıl verildiği, sahipliğin nasıl çalıştığı ve farklı kapsamlarda erişimi yönetebilecek yönetici rolleri açıklanmaktadır.
Yönetici rolleri
Unity Kataloğu birden çok yönetici rolünü destekler:
- Hesap yöneticisi: Meta veri depoları oluşturabilir, kimlikleri yönetebilir, meta veri deposu yöneticileri atayabilir ve Delta Sharing ve sistem tabloları gibi hesap düzeyindeki özellikleri yönetebilir.
-
Meta veri deposu yöneticisi: Meta veri deposundaki tüm nesneleri yönetebilen, sahipliği aktarabilen ve
CREATE CATALOG,CREATE EXTERNAL LOCATIONgibi üst düzey ayrıcalıklar atayabilen, isteğe bağlı fakat güçlü bir rol. - Çalışma alanı yöneticisi: Kimlikleri, çalışma alanı düzeyi ayarlarını ve çalışma alanı kataloğunu yönetir.
Ayrıntılar için bkz. Unity Kataloğu'nda yönetici ayrıcalıkları.
Nesne sahipliği
Unity Kataloğu'ndaki katalog, şema veya tablo gibi güvenliği sağlanabilir her nesnenin sahibi vardır. Sahiplik, bu nesne üzerinde aşağıdakiler dahil olmak üzere tam denetim sağlar:
- Nesneyi ve meta verilerini okuma veya değiştirme
- Diğer kullanıcılara ayrıcalıklar verme
- Sahipliği başka bir asıl kişiye aktarma
Unity Kataloğu ayrıca kullanıcıların nesneleri sahip yapmadan erişim vermesine ve nesneleri değiştirmesine olanak tanıyan bir MANAGE ayrıcalığı da destekler.
Sahiplik hakkında daha fazla bilgi için bkz. Unity Kataloğu nesne sahipliğini yönetme.
Güvenli hale getirilebilen nesnelerdeki ayrıcalıklar
Unity Kataloğu'nda erişim denetimi ayrıcalıklarla başlar. Güvenli hale getirilebilir nesneler olan kataloglar, şemalar, tablolar, görünümler, birimler ve işlevlerdeki kullanıcılara ve gruplara, SELECT, MODIFY ve USE SCHEMA gibi ayrıcalıklar atarsınız.
Ayrıcalık uygulama takibi:
- Hiyerarşik: Kataloglar gibi daha üst düzey nesneler üzerindeki yetkiler, tablolar gibi alt düzey nesnelere geçer.
- Temsilci atanabilir: Her nesnenin, onu yönetebilen ve başkalarına erişim verebilen bir mülkiyet sahibi vardır.
- Açık: Erişime yalnızca bir kullanıcıya veya gruba uygun ayrıcalıklar verildiğinde izin verilir. Kullanıcıya üyesi olduğu tüm gruplardan izinler birliği verilir.
Kullanıcılar, keşfedebildikleri nesnelere, ya BROWSE ayrıcalık ya da nesnenin doğrudan URL'si aracılığıyla ya da Not Defteri uygulamaları veya SQL düzenleyicisinde izin reddi hatasıyla karşılaştıklarında erişim isteyebilir. Databricks, nesneleri keşfedilebilir hale getirmek ve kullanıcıların erişim talep etmesine izin vermek için BROWSE izinlerini kataloglar üzerinde All account users grubuna vermeyi önerir. Erişim istekleri e-posta, Slack, Microsoft Teams, web kancası uç noktaları veya yeniden yönlendirme URL'si gibi yapılandırılmış hedeflere gönderilir. Hiçbir hedef yapılandırılmamışsa, kullanıcılar nesneye erişim isteyemez.
Daha fazla bilgi için bkz. Unity Kataloğu'nda ayrıcalıkları yönetme ve Unity Kataloğu ayrıcalıkları ve güvenliği sağlanabilir nesneler.
Yol tabanlı erişim için izin önbelleğe alma
Unity Kataloğu, bulut depolamaya yol tabanlı erişimin performansını artırmak için kullanıcı ve yol başına 60 saniyeye kadar izin denetimi sonuçlarını önbelleğe alabilir. Bu önbelleğe alma şunlar için geçerlidir:
-
dbutils.fskomutları kullanılarak dosya sistemi işlemleri - Spark SQL kullanan yol tabanlı sorgular
Bu önbelleğe alma davranışı nedeniyle, izin verme veya iptal etme işlemi hemen yansıtılmayabilir. Bu davranış yalnızca yol tabanlı erişimi etkiler. Ad tabanlı erişim (örneğin, SELECT * FROM catalog.schema.table) bu önbellekten etkilenmez.
Öznitelik tabanlı erişim denetimi (ABAC)
Önemli
Bu özellik Genel Önizleme aşamasındadır.
ABAC, Unity Kataloğu'nda erişim denetimini zorlamaya yönelik merkezi, etiket tabanlı bir ilke çerçevesidir. Yöneticilerin yönetilen etiketlere göre kataloglar, şemalar ve tablolar arasında dinamik olarak uygulanan ölçeklenebilir ilkeler tanımlamasına olanak tanır. İlkeler verileri filtreleyebilir veya hassas değerleri maskeleyebilir. Databricks, her tabloya ayrı ayrı filtre veya maske uygulamak yerine merkezi ve ölçeklenebilir idare için ABAC kullanılmasını önerir.
ABAC, meta veri özniteliklerine dayalı erişim denetimi ilkeleri uygulamak için genel amaçlı bir çerçeve olarak tasarlanmıştır. Ayrıcalık tabanlı denetimleri tamamlar ve nesne başına yapılandırma gerektirmeden ayrıntılı zorlamayı destekler.
Önemli özellikler:
- Etiket temelli ilkeler: yönetilen etiketleri ve kullanıcı tanımlı işlevleri (UDF) kullanarak ilkeleri bir kez tanımlayın ve bunları birçok veri varlığında tutarlı bir şekilde uygulayın.
- Hiyerarşik zorlama: Alt nesnelere otomatik devralma ile katalog, şema veya tablo düzeyinde ilkeler uygulayın.
- Merkezi, ölçeklenebilir idare: Her nesneye ayrı ayrıcalıklar atamadan uygun ölçekte erişimi yönetin.
- Dinamik değerlendirme: Erişim kararları etiketler ve kullanıcı bağlamı temelinde gerçek zamanlı olarak değerlendirilir.
Daha fazla bilgi için bkz. Unity Kataloğu öznitelik tabanlı erişim denetimi (ABAC).
Tablo düzeyinde filtreleme ve maskeleme
Bu bölüm, kullanıcıların tabloya özgü mantığı kullanarak sorgu zamanında hangi verileri görebileceğini denetleyen mekanizmaları kapsar. Bunlar şunları içerir:
- Satır filtreleri ve sütun maskeleri: Doğrudan tablolara mantık uygulayın.
- Dinamik görünümler: Bir veya daha fazla tablo üzerinde SQL kullanarak mantık tanımlayın.
Bu yaklaşımlar, idare modelinize bağlı olarak bağımsız olarak veya ABAC ile birlikte kullanılabilir.
Satır filtreleri ve sütun maskeleri
Satır filtreleri ve sütun maskeleri, UDF'leri kullanarak tek tek tablolara doğrudan filtre veya maske mantığı uygular. Merkezi ilke yönetimi olmadan tablo başına mantığı zorlamak istediğinizde kullanışlıdır.
Daha fazla bilgi için bkz. Satır filtreleri ve sütun maskeleri.
Dinamik görünümler
Dinamik görünümler, SQL kullanarak bir veya daha fazla tablo üzerinde mantık tanımlamanıza olanak sağlar. Bunlar yalnızca okunabilir ve şunlar için kullanışlıdır:
- Dönüştürme mantığı uygulama (örneğin birleşimler ve
CASEifadeler) - ABAC'nin desteklenmediği Delta Sharing kullanarak filtrelenmiş verileri paylaşma.
Ayrıntılar için bkz. Dinamik görünüm oluşturma.
Her erişim denetimi mekanizması ne zaman kullanılır?
Çalışma alanı bağlamaları, ayrıcalıkları ve ABAC ilkelerinin tümü erişimi farklı düzeylerde değerlendirir ve birlikte kullanılacak şekilde tasarlanmıştır. Aşağıdaki tablo bunları genel erişim denetimi ölçütleri arasında karşılaştırır:
Uyarı
Databricks, yönetilen etiketlere göre erişim denetimini merkezileştirmek ve ölçeklendirmek için ABAC kullanılmasını önerir. Satır filtrelerini ve sütun maskelerini yalnızca tablo başına mantığa ihtiyacınız olduğunda veya henüz ABAC'yi benimsemediğinizde kullanın.
| Mekanizma | Şunlar için geçerlidir: | Kullanılarak tanımlanır | Kullanım örneği |
|---|---|---|---|
| Çalışma ortamı bağlamaları | Kataloglar, dış konumlar, depolama kimlik bilgileri | Çalışma alanı ataması | Belirli çalışma alanlarından nesnelere erişimi kısıtlama |
| Ayrıcalıklar | Kataloglar, şemalar, tablolar | İzinler (GRANT, REVOKE), sahiplik |
Temel erişim ve yetkilendirme |
| ABAC ilkeleri | Etiketli nesneler (tablolar, şemalar) | Kontrol edilen etiketler ve UDF'ler içeren politikalar | Merkezi, etiket odaklı ilkeler ve dinamik uygulama |
| Tablo düzeyi satır/sütun filtreleri | Tek tek tablolar | Tablonun kendisinde UDF'ler | Tabloya özgü filtreleme veya maskeleme |
| Dinamik görünümler | Bir veya daha fazla tablo üzerindeki görünümler | SQL (eklenmiş filtreler veya maskelerle) | Salt okunur erişim, karmaşık mantık, Delta Paylaşımı |