Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le contrôle d’accès dans le catalogue Unity repose sur les modèles complémentaires suivants :
- Privilèges et contrôle de propriétéqui peuvent accéder à quoi, en utilisant des subventions sur des objets sécurisables.
- Les stratégies basées sur des attributs (ABAC) contrôlent les données auxquelles les utilisateurs peuvent accéder, à l’aide de balises régies et de stratégies centralisées.
- Le filtrage au niveau de la table et le masquage contrôlent les données que les utilisateurs peuvent voir dans les tables à l’aide de filtres et de vues spécifiques à la table.
- Les restrictions au niveau de l’espace de travail contrôlent où les utilisateurs peuvent accéder aux données, en limitant les objets à des espaces de travail spécifiques.
Ces modèles fonctionnent ensemble pour appliquer un accès sécurisé et précis dans votre environnement de données.
Quand utiliser chaque mécanisme de contrôle d’accès
Les liaisons d’espace de travail, les privilèges et les stratégies ABAC évaluent tous l’accès à différents niveaux et sont conçus pour être utilisés ensemble. Le tableau suivant les compare aux critères de contrôle d’accès courants :
Note
Databricks recommande d’utiliser le contrôle d’accès basé sur des attributs (ABAC) pour centraliser et mettre à l’échelle le contrôle d’accès en fonction des balises régies. Utilisez des filtres de lignes et des masques de colonne uniquement lorsque vous avez besoin d’une logique par table ou si vous n’avez pas encore adopté ABAC.
| Mécanisme | S’applique à | Défini avec | Cas d’utilisation |
|---|---|---|---|
| Privilèges | Catalogues, schémas, tables | Octrois (GRANT, REVOKE), propriété |
Accès et délégation de base |
| Stratégies ABAC | Objets étiquetés (tables, schémas) | Stratégies avec balises régies et fonctions définies par l’utilisateur | Stratégies centralisées, basées sur des balises et application dynamique |
| Filtres de lignes/colonnes au niveau de la table | Tables individuelles | Fonctions définies par l’utilisateur sur la table elle-même | Filtrage ou masquage spécifique à une table |
| Liaisons d’espace de travail | Catalogues, emplacements externes, identifiants de stockage | Affectation d’espace de travail | Restriction de l’accès aux objets à partir d’espaces de travail spécifiques |
Modèle d’autorisations
| Sujet | Description |
|---|---|
| Concepts des autorisations | Comprendre la hiérarchie d’objets du catalogue Unity, l’héritage des privilèges et la façon dont l’accès passe des objets parents à enfants. |
| Informations de référence sur les privilèges | Affichez des descriptions détaillées de chaque privilège dans le catalogue Unity. |
| Rôles d’administrateurs | Découvrez les rôles d’administrateur de compte, d’administrateur d’espace de travail et d’administrateur de metastore et leurs étendues. |
Gérer l’accès
| Sujet | Description |
|---|---|
| Gérer les privilèges | Accordez, révoquez et inspectez des privilèges sur des objets catalogue Unity à l’aide de l’Explorateur de catalogues et de SQL. |
| Demandes d’accès | Configurez les destinations pour les demandes d’accès sur les objets sécurisables du catalogue Unity, notamment l’e-mail, Slack, Teams et les webhooks. |
| Liaison de catalogue d’espaces de travail | Limitez les espaces de travail qui peuvent accéder à des catalogues, des emplacements externes et des informations d’identification de stockage spécifiques. |
Accès précis aux données
| Sujet | Description |
|---|---|
| Contrôle d’accès basé sur les attributs (ABAC) | Définissez des stratégies centralisées basées sur des balises qui filtrent et masquent dynamiquement les données dans votre catalogue. |
| Filtres de lignes et masques de colonne | Appliquez des filtres de lignes et de colonnes par table à l'aide de FDU pour contrôler les données que les utilisateurs voient lors de l'exécution de la requête. |