Unity 目录中的访问控制基于以下补充模型构建:
- 特权和所有权通过在可保护对象上设置权限,来控制谁可以访问哪些内容。
- 基于属性的策略 (ABAC)使用受 治理的标记和集中式策略控制哪些数据用户可以访问。
- 表级筛选和屏蔽 控制用户通过表特定的筛选器和视图在表中能够看到的数据。
- 工作区级别限制 通过将对象限制为特定工作区来控制用户可以 访问数据的位置 。
这些模型协同工作,在整个数据环境中强制实施安全、精细的访问。
何时使用每个访问控制机制
工作区绑定、特权和 ABAC 策略都评估不同级别的访问,它们旨在一起使用。 下表比较了常见访问控制条件:
注释
Databricks 建议使用基于属性的访问控制(ABAC)来集中和缩放基于受控制标记的访问控制。 仅当需要每表逻辑或尚未采用 ABAC 时,才使用行筛选器和列掩码。
| 机制 | 适用对象 | 使用......定义 | 用例 |
|---|---|---|---|
| 权限 | 目录、架构、表 | 授予(GRANT、REVOKE),所有权 |
基线访问和委派 |
| ABAC 策略 | 标记的对象(表、架构) | 包含受治理标记和 UDF 的策略 | 基于标签驱动的集中策略和动态执行 |
| 表级行/列筛选器 | 单个表 | 表本身上的 UDF | 表格特定的过滤或掩盖 |
| 工作区绑定 | 目录、外部位置、存储凭据 | 工作区分配 | 限制从特定工作区访问对象 |
权限模型
| 主题 | Description |
|---|---|
| 权限概念 | 了解 Unity 目录对象层次结构、特权继承以及访问如何从父对象流向子对象。 |
| 权限参考 | 查看 Unity 目录中每个特权的详细说明。 |
| 管理员角色 | 了解帐户管理员、工作区管理员和元存储管理员角色及其范围。 |
管理访问权限
| 主题 | Description |
|---|---|
| 管理特权 | 使用目录资源管理器和 SQL 授予、撤销和检查 Unity 目录对象的权限。 |
| 访问请求 | 在 Unity 目录安全对象(包括电子邮件、Slack、Teams 和 Webhook)上配置访问请求的目标。 |
| 工作区目录绑定 | 限制哪些工作区可以访问特定目录、外部位置和存储凭据。 |
细粒度的数据访问
| 主题 | Description |
|---|---|
| 基于属性的访问控制 (ABAC) | 定义集中标记驱动的策略,以动态筛选和屏蔽目录中的数据。 |
| 行筛选器和列掩码 | 使用 UDF 应用每表行和列筛选器,以控制用户在查询时看到的数据。 |