Unity カタログのアクセス制御は、次の補完的なモデルに基づいて構築されています。
- セキュリティ保護可能なオブジェクトに対する許可を使用して、アクセスできるユーザーを特権と所有権で制御します。
- 属性ベースのポリシー (ABAC) は、管理されたタグと一元化されたポリシーを使用して、ユーザー が アクセスできるデータを制御します。
- テーブル レベルのフィルター処理とマスクは、 テーブル固有のフィルターとビューを使用して、ユーザー が テーブル内で表示できるデータを制御します。
- ワークスペース レベルの制限は、オブジェクトを特定の ワークスペースに制限することで、ユーザーがデータにアクセスできる 場所 を制御します。
これらのモデルは連携して、セキュリティで保護されたきめ細かいアクセスをデータ環境全体に適用します。
各アクセス制御メカニズムを使用するタイミング
ワークスペースのバインド、特権、ABAC ポリシーはすべて異なるレベルでアクセスを評価し、一緒に使用するように設計されています。 次の表は、一般的なアクセス制御条件間でそれらを比較します。
Note
Databricks では、属性ベースのアクセス制御 (ABAC) を使用して、管理されたタグに基づいてアクセス制御を一元化およびスケーリングすることをお勧めします。 行フィルターと列マスクは、テーブルごとのロジックが必要な場合、または ABAC をまだ採用していない場合にのみ使用します。
| メカニズム | 適用対象 | 次を使用して定義します。 | 利用シーン |
|---|---|---|---|
| 権限 | カタログ、スキーマ、テーブル | 付与 (GRANT、 REVOKE)、所有権 |
ベースライン アクセスと委任 |
| ABAC ポリシー | タグ付けされたオブジェクト (テーブル、スキーマ) | 管理タグと UDF を含むポリシー | 一元化されたタグ駆動ポリシーと動的適用 |
| テーブル レベルの行/列フィルター | 個別のテーブル | テーブル自体の UDF | テーブル固有のフィルター処理またはマスク |
| ワークスペースのバインディング | カタログ、外部ロケーション、ストレージ資格情報 | ワークスペース割り当て | 特定のワークスペースからのオブジェクトへのアクセスを制限する |
パーミッションモデル
| トピック | Description |
|---|---|
| アクセス許可の概念 | Unity カタログ オブジェクト階層、特権の継承、および親オブジェクトから子オブジェクトへのアクセスフローについて説明します。 |
| 特権リファレンス | Unity カタログのすべての特権の詳細な説明を表示します。 |
| 管理者権限 | アカウント管理者、ワークスペース管理者、メタストア管理者ロールとそのスコープについて説明します。 |
アクセスの管理
| トピック | Description |
|---|---|
| 特権の管理 | カタログ エクスプローラーと SQL を使用して、Unity カタログ オブジェクトに対する権限の付与、取り消し、検査を行います。 |
| アクセス要求 | 電子メール、Slack、Teams、Webhook など、セキュリティ保護可能なオブジェクトの Unity カタログでアクセス要求の宛先を構成します。 |
| ワークスペースカタログの結合 | 特定のカタログ、外部の場所、およびストレージ資格情報にアクセスできるワークスペースを制限します。 |
きめ細かいデータ アクセス
| トピック | Description |
|---|---|
| 属性ベースのアクセス制御 (ABAC) | カタログ全体でデータを動的にフィルター処理およびマスクする、一元化されたタグドリブン ポリシーを定義します。 |
| 行フィルターと列マスク | UDF を使用してテーブルごとの行フィルターと列フィルターを適用して、ユーザーがクエリ時に表示するデータを制御します。 |