Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Tenez compte des meilleures pratiques suivantes pour la conception de stratégie ABAC et la gouvernance des étiquettes.
Normaliser les attributs et le nommage
Établissez une taxonomie de balisage cohérente avant de créer des stratégies. S'accorder sur les noms de clés de balise, les valeurs autorisées, et les conventions de dénomination entre les équipes. Un petit ensemble de balises bien défini est plus facile à gérer qu’une prolifération de balises ad hoc.
Par exemple, utilisez une balise unique sensitivity avec des valeurs contrôlées (public, internal, confidential, restricted) plutôt que plusieurs balises qui se chevauchent comme is_sensitive, data_classet pii_level.
Contrôler qui peut définir des balises
L’étiquetage est une limite de sécurité dans ABAC. Si un utilisateur peut modifier des balises sur une ressource de données, il peut modifier les stratégies qui s’y appliquent. Les balises incorrectes ou manquantes peuvent laisser les données non protégées ou inaccessibles, car les stratégies s’appliquent uniquement lorsque les balises appropriées sont en place.
- Limitez la création et la modification des balises aux gestionnaires de données autorisés ou aux administrateurs de gouvernance. Consultez les balises régies pour savoir comment configurer des autorisations de balise.
- Vérifiez régulièrement les modifications des étiquettes d'audit en utilisant la table système du journal d’audit.
Définir des règles de secours pour les données non classifiées
Ne supposez pas que tous les objets sont correctement étiquetés. Utilisez l’automatisation pour appliquer des normes de balisage et implémenter des mécanismes de secours pour les données non classifiées :
- Appliquez une balise restrictive par défaut (par
classification : unverifiedexemple) aux nouveaux objets jusqu’à ce qu’un gestionnaire de données les examine. - Créez une stratégie qui limite l’accès aux objets avec la balise par défaut.
Pour obtenir un exemple détaillé, consultez Empêcher l’accès jusqu’à ce que les colonnes sensibles soient marquées.
Définir des stratégies au niveau de l’étendue la plus élevée applicable
Attachez des stratégies au niveau du catalogue ou du schéma lorsque cela est possible. Les stratégies au niveau de la table sont rares et doivent être l’exception.
Les stratégies limitées au périmètre du catalogue sont appliquées à toutes les tables du catalogue et les stratégies limitées au périmètre du schéma sont appliquées à toutes les tables du schéma. Lorsque vous ajoutez de nouvelles tables, les stratégies existantes s’appliquent tant que leurs balises correspondent aux conditions de la stratégie.
Éviter la prolifération des politiques
ABAC est conçu pour réduire le nombre de règles de contrôle d’accès, et non les augmenter. Si les équipes créent trop de balises et de stratégies, le résultat est difficile à gérer et à auditer.
- Analysez vos exigences de gouvernance avant de créer des stratégies.
- Commencez par un petit nombre de stratégies générales, telles que le masquage des informations personnelles sur un catalogue ou un filtrage de lignes régional.
- Évitez de créer une stratégie distincte pour chaque cas de périphérie.
- Passez régulièrement en revue les stratégies et consolidez celles qui se chevauchent.
Un grand nombre de stratégies et de conditions complexes peuvent ralentir les vérifications d’autorisation. Pour plus d’informations, consultez les considérations relatives aux performances .
Préférer TO/EXCEPT pour le ciblage principal
Si possible, utilisez les clauses TO et EXCEPT de la politique pour définir les utilisateurs et les groupes auxquels la politique s’applique. Cela permet de simplifier la logique UDF. La EXCEPT clause exclut entièrement les utilisateurs spécifiques de la stratégie afin qu’ils ne soient soumis à aucun filtrage ou masquage. Lorsque la logique conditionnelle complexe est requise, les fonctions d'identité comme is_account_group_member() dans les UDFs (fonctions définies par l'utilisateur) restent une option valide.
Pour plus d’informations, consultez Approche pour le ciblage des principaux.
Planifier l’évaluation de stratégie dynamique
Les stratégies ABAC sont dynamiques. Contrairement aux filtres de lignes au niveau de la table et aux masques de colonne, qui sont directement visibles sur la définition de table, les stratégies ABAC évaluent au moment de la requête en fonction de l’identité et des appartenances aux groupes de l’utilisateur, ainsi que les balises sur l’objet de données dans l’étendue de la stratégie. Cela peut rendre plus difficile pour les consommateurs de données et les propriétaires de tables de comprendre quelles règles d’accès s’appliquent à une table donnée.
- Permet
SHOW EFFECTIVE POLICIESde déterminer ce qui s’applique à une table spécifique. - Documentez votre approche de taxonomie, de stratégies et de gestion de groupe pour que les équipes puissent comprendre le modèle de gouvernance sans inspecter chaque stratégie individuellement.
- Si la transparence est essentielle pour une table spécifique, envisagez plutôt d’utiliser des filtres de lignes de niveau table et des masques de colonne pour ce cas isolé. Veillez d’abord à résoudre les conflits possibles.
En savoir plus
| Sujet | Description |
|---|---|
| Considérations relatives aux performances | Comment la conception de stratégie ABAC affecte les performances des requêtes et comment optimiser et tester vos stratégies. |
| Quand utiliser l'ABAC par rapport aux filtres de lignes au niveau du tableau et aux masques de colonne | Différences dans l’étendue, la propriété et la façon de choisir entre les deux approches. |
| Partage delta et ABAC | Comment partager des tables protégées par ABAC via Delta Sharing, gérer les politiques côté destinataire et configurer des vues locales côté destinataire. |