Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt tabellen en weergaven delen die worden beveiligd door ABAC-beleid via Delta Sharing als de eigenaar van de share is vrijgesteld van het beleid aan de providerzijde. Op deze pagina wordt beschreven hoe u tabellen kunt delen met rijfilters en kolommaskers en hoe u weergaven kunt verwerken wanneer u beleidsregels aan de zijde van de ontvanger moet afdwingen.
Prerequisites
- Databricks Runtime 16.4 of hoger of serverloze berekeningen.
- Beheerdersrechten voor accountbeheerders of werkruimtebeheerders (om beheerde tags te maken).
-
MANAGEmachtiging voor de doelcatalogus of het doelschema. -
EXECUTEop de UDFs. - Delta Sharing geconfigureerd tussen de provider en de ontvanger. Zie Wat is Delta Sharing?.
Tabellen delen die worden beveiligd door ABAC-beleidsregels
Deel eigenaren kunnen tabellen delen die onder ABAC-beleid vallen via Delta Sharing als ze aan beide van deze voorwaarden voldoen.
- Ze hebben de vereiste machtigingen voor Delta Delen.
- Ze zijn vrijgesteld van het ABAC-beleid (vermeld in de
EXCEPTcomponent).
In het volgende voorbeeld ziet u een beleid aan de providerzijde waarbij de eigenaar van de share is uitgesloten:
-- Provider: row filter policy with the share owner exempted
CREATE POLICY hide_eu_customers
ON CATALOG provider_catalog
ROW FILTER hide_eu
TO `account users`
EXCEPT 'share_owner_group'
FOR TABLES
MATCH COLUMNS has_tag('geo_region') AS region
USING COLUMNS (region);
-- Add the table to the share
CREATE SHARE employees_share;
ALTER SHARE employees_share ADD TABLE provider_catalog.hr.employees;
GRANT SELECT ON SHARE employees_share TO RECIPIENT `recipient_org`;
Het ABAC-beleid van de provider bepaalt de toegang van de ontvanger niet. Omdat de eigenaar van de share is uitgesloten van het beleid aan de providerzijde, ziet de ontvanger standaard niet-gefilterde of niet-gemaskeerde gegevens. Ontvangers kunnen hun eigen ABAC-beleid toepassen op gedeelde tabellen om toegangsbeheer aan hun zijde af te dwingen.
- Voor shareproviders, zie Tabellen en schema's die zijn beveiligd door ABAC-beleid toevoegen aan een share.
- Zie ABAC-beveiligde gegevens lezen en ABAC-beleid toepassen voor geadresseerden die delen ontvangen.
Weergaven delen die worden beveiligd door ABAC-beleid
Aandeelhouders kunnen ook weergaven delen die naar basistabellen verwijzen die met ABAC beveiligd zijn. Net als bij het rechtstreeks delen van tabellen, moet de eigenaar van de share worden uitgesloten van ABAC-beleid voor de onderliggende tabellen.
-- Provider: row filter policy with the share owner exempted
CREATE POLICY hide_eu_customers
ON CATALOG provider_catalog
ROW FILTER hide_eu
TO `account users`
EXCEPT 'share_owner_group'
FOR TABLES
MATCH COLUMNS has_tag('geo_region') AS region
USING COLUMNS (region);
-- Add the view to the share
ALTER SHARE employees_share ADD VIEW provider_catalog.hr.employees_view AS hr.employees_view;
GRANT SELECT ON SHARE employees_share TO RECIPIENT `recipient_org`;
Opmerking
Als u weergaven deelde vóór 23 april 2026, moet u mogelijk uw ABAC-beleid bijwerken. Vóór deze datum moest de eigenaar van de weergave worden vrijgesteld van beleidsregels in de onderliggende tabellen. Vanaf 23 april 2026 moet de eigenaar van de share in plaats daarvan worden vrijgesteld. Als Databricks contact met u heeft opgenomen als mogelijk beïnvloede klant, heeft u tot 22 juli 2026 om uw EXCEPT clausules bij te werken.
Lokale weergaven voor ontvangers over gedeelde tabellen
Omdat ABAC-beleid alleen kan worden ingesteld voor tabellen en niet voor weergaven, als gebruikers aan de ontvangende kant gegevens moeten consumeren via weergaven en gevoelige gegevens beschermd moeten worden, deel dan de basistabellen en stel daar ABAC-beleid op in. De ontvanger maakt lokaal weergaven over de gedeelde tabellen, en het beleid op de basistabellen wordt gerespecteerd wanneer gegevens worden benaderd via de weergaven. In dit geval hoeft u geen weergaven aan de providerzijde te delen.
Deze aanpak werkt als volgt:
- Deel uitsluitend de basistabellen, niet de weergaven. Aan de zijde van de geadresseerde worden de gedeelde tabellen weergegeven in een alleen-lezen delta-share-schema.
- Pas ABAC-beleid toe op de brontabellen aan de providerzijde en op de gedeelde tabellen aan de geadresseerdezijde. Het beleid van de provider bepaalt de toegang aan de kant van de provider. De ontvanger maakt een beleid om de toegang voor gebruikers aan de zijde van de ontvanger te beheren.
- Maak bij de ontvanger views aan op basis van de gedeelde basistabellen in een separaat schema. Omdat Delta Sharing-schemas alleen voor lezen zijn, moeten ontvanger-lokale weergaven worden gemaakt in een ander schema. Als u ABAC-beleid instelt voor de Delta Sharing-tabellen, worden deze beleidsregels gerespecteerd wanneer gebruikers toegang hebben tot de gegevens via de lokale weergaven van de ontvanger.
-- Recipient: apply an ABAC policy to the shared table
CREATE POLICY hide_eu_customers
ON CATALOG recipient_catalog
ROW FILTER hide_eu
TO `account users`
EXCEPT 'recipient_admins'
FOR TABLES
MATCH COLUMNS has_tag('geo_region') AS region
USING COLUMNS (region);
-- Create a view in a separate schema (delta share schema is read-only)
CREATE VIEW recipient_catalog.analytics.employees_view AS
SELECT * FROM recipient_catalog.delta_share_schema.employees;