Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite werden Anforderungen, Richtlinienkontingente und aktuelle Einschränkungen für die attributbasierte Zugriffssteuerung (ABAC) im Unity-Katalog aufgeführt.
Computeanforderungen
Um ABAC-Richtlinien zu verwenden, müssen Sie eine der folgenden Computekonfigurationen verwenden:
- Serverloses Computing
- Standard compute auf Databricks Runtime 16.4 oder höher
- Dedizierte Rechnerleistung auf Databricks Runtime 16.4 oder höher mit aktivierter feingranularer Zugriffssteuerungsfilterung
Anleitungen zum Ausführen von Workloads, die ältere Laufzeiten erfordern, finden Sie unter Access von älteren Runtimes.
Anforderung für geregelte Tags
ABAC-Richtlinien verwenden geregelte Tags und keine nicht geregelten Tags. Geregelte Tags werden auf Kontoebene mit Zugriffssteuerungen definiert, die bestimmen, wer sie erstellen, zuweisen und verwalten kann. Ausführliche Informationen finden Sie unter "Governed tags".
Note
Nach dem Zuweisen oder Ändern eines Tags kann es einige Minuten dauern, bis die Änderung wirksam wird.
Richtlinienkontingente
| Ressource | Grenzwert |
|---|---|
| Richtlinien pro Metaspeicher | 10.000 |
| Richtlinien pro Katalog oder Schema | 100 |
| Richtlinien pro Tabelle | 50 |
Prinzipale pro Richtlinie (gilt für beide TO und EXCEPT Klauseln) |
20 |
Spaltenbedingungen pro MATCH COLUMNS Klausel |
3 |
Weitere Informationen, einschließlich unterliegter Kategorienkontingente, finden Sie unter Dienstgrenzwerte.
ABAC-Einschränkungen
Zugriff von älteren Runtimes
Standard- und dedizierte Compute für Databricks-Runtime-Versionen vor 16.4 können nicht auf ABAC-gesicherte Tabellen zugreifen. Wenn Sie bestimmte Workloads benötigen, um weiterhin auf einer älteren Laufzeit ausgeführt zu werden, legen Sie die ABAC-Richtlinie auf eine bestimmte Gruppe fest, anstatt sie allgemein anzuwenden. Fügen Sie nur die Benutzer oder Prinzipale hinzu, die die Richtlinie auf diese Gruppe anwenden soll, und schließen Sie den Prinzipal aus, der die Arbeitsauslastung für ältere Laufzeit mithilfe der EXCEPT Klausel ausführt. Benutzer außerhalb der Gruppe behalten vollzugriff auf die zugrunde liegenden Tabellen. Auf diese Weise kann diese Workload weiterhin auf die Tabellen zugreifen, während Sie zu einer unterstützten Laufzeit wechseln.
ABAC-Richtlinien für Ansichten
Sie können ABAC-Richtlinien nicht direkt auf Ansichten anwenden. Wenn ein Benutzer jedoch eine Ansicht abfragt, die auf Tabellen mit ABAC-Richtlinien verweist, werden diese Richtlinien beim Zugriff auf Daten über die Ansicht beachtet.
ABAC-Zeilenfilter und Spaltenmasken in den zugrunde liegenden Tabellen werden mithilfe der Identität des Sitzungsbenutzers ausgewertet, was bedeutet, dass die Person, die die Abfrage ausführt. Der Benutzer sieht nur die Zeilen- und Spaltenwerte, auf die er gemäß den ABAC-Richtlinien in den Basistabellen zugreifen darf. Basistabellenzugriffsprüfungen und Zugriffsprüfungen für Abhängigkeiten verwenden die Identität des Ansichtsbesitzers, sodass Benutzer Ansichten ohne direkte Berechtigungen für die zugrunde liegenden Tabellen abfragen können.
Note
Dasselbe Sitzungsbenutzeridentitätsmodell gilt, wenn Tabellen mit ABAC-Richtlinien über Funktionen zugegriffen werden.
Das Sitzungsbenutzeridentitätsmodell wurde zusammen mit der ABAC GA-Version eingeführt. Zuvor wurden Richtlinien mithilfe der Identität des Ansichtsbesitzers oder der Funktions definer ausgewertet. Weitere Informationen finden Sie in den Versionshinweisen vom April 2026.
ABAC-Richtlinien für materialisierte Ansichten und Streamingtabellen
Note
Zuvor wurden ABAC-Richtlinien für materialisierte Ansichten und Streamingtabellen nur unterstützt, wenn der Pipelinebesitzer oder die Run-as-Identität von der Richtlinie ausgenommen wurde. Diese Einschränkung wurde entfernt.
Wenn eine Pipeline eine Materialisierte Ansicht oder Streamingtabelle aktualisiert, werden Richtlinien mithilfe der Identität des Pipelinebesitzers oder der Ausführung als Identität ausgewertet. Wenn diese Identität der Richtlinie unterliegt, enthält die Materialisierte Ansicht oder Streamingtabelle dauerhaft maskierte oder gefilterte Daten. Databricks empfiehlt, die Aktualisierungsidentität mithilfe der EXCEPT Klausel ausgenommen zu halten und Verbraucher zu verwenden, die maskierte oder gefilterte Daten in der TO Klausel sehen sollten.
Delta-Freigabetabellen mit ABAC-Richtlinien oder Ansichten, die darauf verweisen
Tabellen mit ABAC-Richtlinien oder Ansichten, die auf Tabellen mit ABAC-Richtlinien verweisen, können nur über die Delta-Freigabe freigegeben werden, wenn der Freigabebesitzer von der Richtlinie ausgenommen ist (in der EXCEPT Klausel aufgeführt). Die Richtlinie steuert nicht den Zugriff des Empfängers. Empfänger können ihre eigenen ABAC-Richtlinien auf freigegebene Tabellen anwenden, um die Zugriffssteuerung auf ihrer Seite zu erzwingen.
- Informationen zu Freigabeanbietern finden Sie unter Hinzufügen von Tabellen und Schemas, die durch ABAC-Richtlinien gesichert sind, zu einer Freigabe.
- Für Empfänger von Freigaben siehe Lesen von ABAC-gesicherten Daten und Anwenden von ABAC-Richtlinien.
Ausführliche Informationen zur Verwendung der Delta-Freigabe mit ABAC finden Sie unter Delta-Freigabe und ABAC.
Zeitreise und Klonen auf Tabellen mit ABAC-Richtlinien
ABAC-Richtlinien können nicht für historische Tabellenmomentaufnahmen ausgewertet werden, sodass Zeitreiseabfragen für Tabellen mit aktiven Zeilenfiltern oder Spaltenmasken fehlschlagen. Tiefe und flache Klonen werden auch für Tabellen mit ABAC-Richtlinien nicht unterstützt.
Um diese Vorgänge zu aktivieren, erstellen Sie einen Dienstprinzipal oder eine Gruppe, und fügen Sie ihn zur Klausel der Richtlinie EXCEPT hinzu. Die Richtlinie wird nicht für ausgenommene Prinzipale ausgewertet, sodass diese Vorgänge ausgeführt werden können.
Von Bedeutung
Ausgenommene Prinzipale sehen ungefilterte, ungemaskete Daten. Ausgenommen sind nur vertrauenswürdige Identitäten wie Dienstprinzipale, die für ETL- oder Pipelineworkloads verwendet werden.
Die folgenden Richtlinien maskieren z. B. PII-Spalten für alle Benutzer mit Ausnahme der etl_service_principal, die Zeit für Reiseabfragen und Klonvorgänge ausführen kann:
CREATE POLICY mask_pii
ON CATALOG prod
COLUMN MASK prod.governance.mask_value
TO `account users`
EXCEPT `etl_service_principal`
FOR TABLES
MATCH COLUMNS
has_tag_value('pii', 'ssn') AS ssn
ON COLUMN ssn;
Vektorsuchindizes und ABAC-Richtlinien
ABAC-Richtlinien für eine Quelltabelle gelten nicht für Vektorsuchindizes, die aus dieser Tabelle erstellt wurden. Der Index synchronisiert alle Zeilen aus der Quelltabelle und erzwingt beim Bereitstellen von Abfragen keine Zeilenfilter- oder Spaltenformatrichtlinien.
Bei Tabellen mit Spaltenformaten können Sie maskierte Spalten mithilfe der Zusynchronisierungseinstellung aus dem Index ausschließen.
Mehrere Richtlinien für dieselbe Tabelle oder Spalte für denselben Benutzer
Nur ein eindeutiger Zeilenfilter kann zur Laufzeit für eine bestimmte Tabelle und einen bestimmten Benutzer aufgelöst werden, und nur eine unterschiedliche Spaltenmaske kann für eine bestimmte Spalte und einen bestimmten Benutzer aufgelöst werden. Sie können mehrere Richtlinien definieren, aber wenn ein Benutzer die Tabelle abfragt, müssen nur die Bedingungen einer Richtlinie übereinstimmen. Wenn mehrere unterschiedliche Zeilenfilter oder Spaltenformate auf denselben Benutzer und dieselbe Tabelle oder Spalte angewendet werden, blockiert Azure Databricks den Zugriff und gibt einen Fehler zurück. Mehrere Richtlinien sind zulässig, wenn sie mit denselben Argumenten in denselben Zeilenfilter oder spaltenformat aufgelöst werden.
Ausführliche Informationen finden Sie unter Regeln für mehrere Filter und Masken.
ABAC-Richtlinien und Informationsschema
Es gibt keine Informationsschematabelle für ABAC-Richtlinien. In den information_schema.row_filters Und information_schema.column_masks Tabellen werden nur Zeilenfilter auf Tabellenebene und Spaltenmasken angezeigt. Sie zeigen keine ABAC-Richtliniendefinitionen oder die Filter und Masken an, die von ABAC-Richtlinien zur Laufzeit abgeleitet wurden.
Verwenden Sie die Unity Catalog-REST-API, um ABAC-Richtlinien auflisten zu können. Richtlinienerstellungs-, Änderungs- und Löschereignisse werden in der Systemtabelle des Überwachungsprotokolls erfasst.
ABAC für dedizierte Compute
Einschränkungen von ABAC auf dedizierter Compute-Umgebung finden Sie unter Einschränkungen.
Allgemeine Einschränkungen für ABAC- und Zeilenfilter auf Tabellenebene und Spaltenformate
Allgemeine Einschränkungen von Zeilenfiltern und Spaltenformaten, die sowohl für ABAC- als auch Zeilenfilter auf Tabellenebene und Spaltenmasken gelten, finden Sie unter "Einschränkungen".