Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Houd rekening met de volgende best practices voor ABAC-beleid ontwerp en taggovernance.
Kenmerken en naamgeving standaardiseren
Stel een consistente taxonomie voor taggen vast voordat u beleid maakt. Ga akkoord met tagsleutelnamen, toegestane waarden en naamconventies in alle teams. Een kleine, goed gedefinieerde set tags is gemakkelijker te beheren dan een toename van ad-hoc tags.
Gebruik bijvoorbeeld één sensitivity tag met gecontroleerde waarden (public, internal, , confidentialrestricted) in plaats van meerdere overlappende tags, zoals is_sensitive, data_classen pii_level.
Bepalen wie tags kan instellen
Tagging is een beveiligingsgrens bij ABAC. Als een gebruiker tags op een gegevensasset kan wijzigen, kan hij of zij wijzigen welke beleidsregels hierop van toepassing zijn. Verkeerde of ontbrekende tags kunnen gegevens onbeveiligd of ontoegankelijk laten omdat beleidsregels alleen van toepassing zijn wanneer de juiste tags aanwezig zijn.
- Beperk het maken en wijzigen van tags tot geautoriseerde databeheerders of governancebeheerders. Zie Beheerde tags voor hoe u tagrechten configureert.
- Controleer tagwijzigingen regelmatig met behulp van de auditlog-systeemtabel.
Terugvalregels instellen voor niet-geclassificeerde gegevens
Stel niet dat alle objecten correct zijn gelabeld. Automatisering gebruiken om taggingstandaarden af te dwingen en terugvalmechanismen te implementeren voor niet-geclassificeerde gegevens:
- Pas een standaard beperkend label (zoals
classification : unverified) toe op nieuwe objecten totdat een gegevenssteward deze beoordeelt. - Maak een beleid waarmee de toegang tot objecten wordt beperkt met de standaardtag.
Zie Toegang voorkomen totdat gevoelige kolommen zijn gelabeld voor een gedetailleerd voorbeeld.
Beleidsregels definiëren op het hoogste toepasselijke bereik
Voeg waar mogelijk beleidsregels toe op catalogus- of schemaniveau. Beleidsregels op tabelniveau zijn zeldzaam en moeten de uitzondering zijn.
Beleidsregels met een catalogusbereik worden geëvalueerd op basis van alle tabellen in de catalogus en beleidsregels met schemabereik worden geëvalueerd op basis van alle tabellen in het schema. Wanneer u nieuwe tabellen toevoegt, worden bestaande beleidsregels toegepast zolang hun tags overeenkomen met de voorwaarden van het beleid.
Vermijd beleidsvervaging
ABAC is ontworpen om het aantal regels voor toegangsbeheer te verminderen, niet om ze te vergroten. Als teams te veel tags en beleidsregels maken, is het resultaat moeilijk te beheren en te controleren.
- Analyseer uw governancevereisten voordat u beleidsregels maakt.
- Begin met een klein aantal algemene beleidsregels, zoals PII-maskering in een catalogus of regionale rijfiltering.
- Vermijd het maken van een afzonderlijk beleid voor elke edge-case.
- Controleer regelmatig beleidsregels en voeg overlappende beleidsregels samen.
Grote aantallen beleidsregels en complexe voorwaarden kunnen autorisatiecontroles vertragen. Zie Prestatieoverwegingen voor meer informatie.
Geef de voorkeur aan TO/EXCEPT voor hoofdgerichte targeting
Gebruik indien mogelijk de beleidsregels en TO componenten van het beleid EXCEPT om te definiëren op welke gebruikers en groepen het beleid van toepassing is. Hierdoor blijft UDF-logica eenvoudig. De EXCEPT component sluit specifieke gebruikers volledig uit van het beleid, zodat ze niet onderhevig zijn aan filters of maskering. Wanneer complexe voorwaardelijke logica vereist is, blijven identiteitsfuncties zoals is_account_group_member() binnen UDF's een geldige optie.
Zie Benadering voor het richten op principalen voor details.
Plannen voor dynamische beleidsevaluatie
ABAC-beleid is dynamisch. In tegenstelling tot rijfilters en kolommaskers op tabelniveau, die rechtstreeks zichtbaar zijn in de tabeldefinitie, evalueert ABAC-beleid op querytijd op basis van de identiteit en groepslidmaatschappen van de gebruiker, en de tags op het gegevensobject in het beleidsbereik. Hierdoor kunnen gegevensgebruikers en tabeleigenaren moeilijker begrijpen welke toegangsregels van toepassing zijn op een bepaalde tabel.
- Gebruik
SHOW EFFECTIVE POLICIESdit om te bepalen wat van toepassing is op een specifieke tabel. - Documenteer uw taxonomie, beleid en groepsbeheerbenadering zodat teams het governancemodel kunnen begrijpen zonder elk beleid afzonderlijk te inspecteren.
- Als transparantie essentieel is voor een specifieke tabel, kunt u in plaats daarvan rijfilters en kolommaskers op tabelniveau gebruiken voor dat geïsoleerde geval. Zorg ervoor dat u eerst mogelijke conflicten verhelpt.
Meer informatie
| Onderwerp | Description |
|---|---|
| Prestatieoverwegingen | Hoe het ABAC-beleidsontwerp van invloed is op de prestaties van query's en hoe u uw beleid optimaliseert en test. |
| Wanneer u ABAC versus rijfilters op tabelniveau en kolommaskers gebruikt | Verschillen in bereik, eigendom en kiezen tussen de twee benaderingen. |
| Delta Delen en ABAC | Hoe je ABAC-beveiligde tabellen deelt via Delta Sharing, hoe je beleidsregels betreffende de ontvangerzijde afhandelt en hoe je lokale weergaven opstelt. |