基于属性的访问控制(ABAC)是 Unity 目录中的访问控制模型,通过评估与安全对象关联的属性来确定访问权限。 这些属性(通过 受治理的标记表示)用于 策略 条件来标识策略应保护的数据。
策略 被附加到 Unity Catalog 的层级,例如目录、架构或表,并进行动态评估。 当安全对象具有策略所针对的属性时,该策略会自动生效,因此单个策略可以在整个目录或架构中强制实施一致的访问规则。
ABAC 还通过 行筛选器策略 和 列掩码策略支持行和列级安全性。 受支持的安全对象类型包括表、物化视图和流式处理表。
以下主题可帮助你开始使用 Unity 目录中的 ABAC。
| 主题 | Description |
|---|---|
| 基于属性的访问控制的核心概念(ABAC) | 涵盖受治理的标记、策略、UDF、策略范围、标记继承以及如何在查询时评估和强制执行策略。 |
| 创建和管理 ABAC 策略 | 如何使用目录资源管理器、SQL 和 REST API 创建、编辑、查看和删除 ABAC 策略。 |
| 策略评估和运行时行为 | 标签和策略操作的策略评估及其内部机制和审核日志记录。 |
| 行筛选和列掩码的常见模式 | 行筛选和列掩码的可重用模式,包括用于多类型掩码和结构列修订的基于 VARIANT 的 UDF。 |
| ABAC 策略的最佳做法 | 策略范围、标记分类设计和策略管理的建议。 |
| ABAC 策略的性能注意事项 | ABAC 策略的性能特征,包括 UDF 复杂性、谓词下推和查询优化。 |
| 何时使用 ABAC 与表级行筛选器和列掩码进行比较 | 如何在 ABAC 策略和表级行筛选器和列掩码之间进行选择,包括范围、所有权和替代行为的差异。 |
| ABAC 要求、配额和限制 | 计算需求、策略配额以及当前 ABAC 限制,包括视图支持和冲突解决。 |