Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Berücksichtigen Sie die folgenden bewährten Methoden für das ABAC-Richtlinien-Design und die Tag-Governance.
Standardisieren von Attributen und Benennungen
Richten Sie eine konsistente Taggingtaxonomie ein, bevor Sie Richtlinien erstellen. Einigen Sie sich auf Tag-Schlüssel-Namen, zulässige Werte und Benennungskonventionen zwischen den Teams. Eine kleine, gut definierte Gruppe von Tags ist einfacher zu verwalten als eine Verbreitung von Ad-hoc-Tags.
Verwenden Sie beispielsweise ein einzelnes sensitivity Tag mit kontrollierten Werten (public, internal, , confidential, restricted) anstelle mehrerer überlappender Tags wie is_sensitive, data_classund pii_level.
Steuern, wer Tags festlegen kann
Tagging ist eine Sicherheitsgrenze in ABAC. Wenn ein Benutzer Tags für eine Datenressource ändern kann, kann er ändern, welche Richtlinien darauf angewendet werden. Falsche oder fehlende Tags können Daten ungeschützte oder nicht zugänglich lassen, da Richtlinien nur gelten, wenn die richtigen Tags vorhanden sind.
- Beschränken Sie die Tagerstellung und -änderung auf autorisierte Datenverantwortliche oder Governance-Administratoren. Weitere Informationen zum Konfigurieren von Tagberechtigungen finden Sie unter "Governed tags ".
- Überprüfen Sie regelmäßig Änderungen von Überwachungstags mit der Auditprotokoll-Systemtabelle.
Festlegen von Fallbackregeln für nicht klassifizierte Daten
Gehen Sie nicht davon aus, dass alle Objekte richtig markiert sind. Verwenden Sie die Automatisierung, um Taggingstandards zu erzwingen und Fallbackmechanismen für nicht klassifizierte Daten zu implementieren:
- Wenden Sie ein restriktives Standard-Tag (wie
classification : unverified) auf neue Objekte an, bis ein Datenverantwortlicher sie überprüft. - Erstellen Sie eine Richtlinie, die den Zugriff auf Objekte mit dem Standardtag einschränkt.
Ein detailliertes Beispiel finden Sie unter "Zugriff verhindern", bis vertrauliche Spalten markiert sind.
Definieren von Richtlinien auf dem höchsten anwendbaren Bereich
Fügen Sie nach Möglichkeit Richtlinien auf Katalog- oder Schemaebene an. Richtlinien auf Tabellenebene sind selten und sollten die Ausnahme sein.
Katalogbezogene Richtlinien werden für alle Tabellen im Katalog ausgewertet, und schemabezogene Richtlinien werden für alle Tabellen im Schema ausgewertet. Wenn Sie neue Tabellen hinzufügen, gelten vorhandene Richtlinien, solange ihre Tags den Bedingungen der Richtlinie entsprechen.
Vermeiden von Richtlinienprawl
ABAC wurde entwickelt, um die Anzahl der Zugriffssteuerungsregeln zu reduzieren und sie nicht zu erhöhen. Wenn Teams zu viele Tags und Richtlinien erstellen, ist das Ergebnis schwer zu verwalten und zu überwachen.
- Analysieren Sie Ihre Governanceanforderungen, bevor Sie Richtlinien erstellen.
- Beginnen Sie mit einer kleinen Anzahl von allgemeinen Richtlinien, z. B. PII-Maskierung über einen Katalog oder eine regionale Zeilenfilterung.
- Vermeiden Sie das Erstellen einer separaten Richtlinie für jeden Extremfall.
- Überprüfen Sie Richtlinien regelmäßig, und konsolidieren Sie überlappende Richtlinien.
Große Anzahl von Richtlinien und komplexen Bedingungen können Autorisierungsprüfungen verlangsamen. Ausführliche Informationen finden Sie unter Leistungsüberlegungen .
Bevorzugen Sie TO/EXCEPT für die Hauptzielsetzung
Verwenden Sie nach Möglichkeit die Klauseln TO und EXCEPT der Richtlinie, um zu definieren, für welche Benutzer und Gruppen die Richtlinie gilt. Dadurch bleibt UDF-Logik einfach. Die EXCEPT Klausel schließt bestimmte Benutzer vollständig aus der Richtlinie aus, sodass sie keine Filterung oder Maskierung unterliegen. Wenn komplexe bedingte Logik erforderlich ist, bleiben Identitätsfunktionen wie is_account_group_member() in UDFs eine gültige Option.
Ausführliche Informationen finden Sie unter "Ansatz für Zielprinzipale".
Plan zur dynamischen Richtlinienauswertung
ABAC-Richtlinien sind dynamisch. Im Gegensatz zu Zeilenfiltern auf Tabellenebene und Spaltenmasken, die direkt in der Tabellendefinition sichtbar sind, werden ABAC-Richtlinien zur Abfragezeit basierend auf der Identitäts- und Gruppenmitgliedschaft des Benutzers und den Tags für das Datenobjekt im Richtlinienbereich ausgewertet. Dies kann es für Datenkonsumenten und Tabellenbesitzer erschweren, zu verstehen, welche Zugriffsregeln für eine bestimmte Tabelle gelten.
- Verwenden Sie
SHOW EFFECTIVE POLICIES, um festzustellen, was für eine bestimmte Tabelle gilt. - Dokumentieren Sie Ihre Taggingtaxonomie, Richtlinien und Gruppenverwaltungsansatz, damit Teams das Governancemodell verstehen können, ohne jede Richtlinie einzeln zu prüfen.
- Wenn Transparenz für eine bestimmte Tabelle wichtig ist, sollten Sie stattdessen Zeilenfilter und Spaltenformate auf Tabellenebene für diesen isolierten Fall verwenden. Stellen Sie sicher, dass sie zuerst mögliche Konflikte behandeln.
Weitere Informationen
| Thema | Description |
|---|---|
| Leistungsüberlegungen | Wie sich das ABAC-Richtliniendesign auf die Abfrageleistung auswirkt und wie Sie Ihre Richtlinien optimieren und testen können. |
| Gründe für die Verwendung von ABAC im Vergleich zu Zeilenfiltern auf Tabellenebene und Spaltenmasken | Unterschiede im Umfang, in der Verantwortung und wie die Auswahl zwischen den beiden Ansätzen getroffen wird. |
| Delta-Freigabe und ABAC | So geben Sie ABAC-geschützte Tabellen mit Delta Sharing frei, behandeln Sie empfängerseitige Richtlinien und richten Sie lokale Ansichten für Empfänger ein. |