Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze pagina bevat vereisten, beleidsquota en huidige beperkingen voor op kenmerken gebaseerd toegangsbeheer (ABAC) in Unity Catalog.
Computatievereisten
Als u ABAC-beleid wilt gebruiken, moet u een van de volgende rekenconfiguraties gebruiken:
- serverloze rekenkracht
- Standaard berekenen op Databricks Runtime 16.4 of hoger
- Toegewezen rekenkracht op Databricks Runtime 16.4 of hoger met fijnmazige filters voor toegangsbeheer ingeschakeld
Zie Access van oudere runtimes voor hulp bij het uitvoeren van workloads waarvoor oudere runtimes zijn vereist.
Vereiste voor beheerde tags
ABAC-beleid maakt gebruik van beheerde tags, geen niet-overgemaakte tags. Beheerde tags worden gedefinieerd op accountniveau met toegangsbeheer waarmee wordt bepaald wie deze kan maken, toewijzen en beheren. Zie Beheerde tags voor meer informatie.
Opmerking
Nadat u een tag hebt toegewezen of gewijzigd, kan het enkele minuten duren voordat de wijziging is doorgevoerd.
Beleidsquota
| Hulpbron | Limiet |
|---|---|
| Beleid per metastore | 10.000 |
| Beleid per catalogus of schema | 100 |
| Beleidsregels per tabel | 50 |
Principals per beleid (van toepassing op zowel TOEXCEPT als componenten) |
20 |
Kolomvoorwaarden per MATCH COLUMNS component |
3 |
Zie Servicelimieten voor meer informatie, waaronder quota voor beheerde tags.
ABAC-beperkingen
Toegang vanaf oudere runtimes
Standard- en toegewezen berekeningen op Databricks Runtime-versies ouder dan 16.4 hebben geen toegang tot met ABAC beveiligde tabellen. Als u bepaalde workloads nodig hebt om door te gaan met een oudere runtime, kunt u het ABAC-beleid toepassen op een specifieke groep in plaats van deze breed toe te passen. Voeg alleen de gebruikers of principals toe die u wilt dat het beleid van toepassing is op die groep en sluit de principal uit waarop de workload van de oudere runtime wordt uitgevoerd met behulp van de EXCEPT component. Gebruikers buiten de groep behouden volledige toegang tot de onderliggende tabellen. Hierdoor kan die workload toegang blijven krijgen tot de tabellen terwijl u overstapt naar een ondersteunde runtime.
ABAC-beleid voor weergaven
U kunt ABAC-beleid niet rechtstreeks toepassen op weergaven. Wanneer een gebruiker echter een query op een weergave uitvraagt die verwijst naar tabellen met ABAC-beleid, worden deze beleidsregels gerespecteerd bij het openen van gegevens via de weergave.
ABAC-rijfilters en kolommaskers in de onderliggende tabellen worden geëvalueerd met behulp van de identiteit van de sessiegebruiker, wat betekent dat de persoon die de query uitvoert. De gebruiker ziet alleen de rijen en kolomwaarden die ze mogen openen, zoals gedefinieerd door het ABAC-beleid op de basistabellen. Basistabeltoegangscontroles en toegangscontroles voor afhankelijkheden maken gebruik van de identiteit van de weergave-eigenaar, zodat gebruikers query's kunnen uitvoeren op weergaven zonder directe bevoegdheden voor de onderliggende tabellen.
Opmerking
Hetzelfde gebruikersidentiteitsmodel voor sessies is van toepassing wanneer tabellen met ABAC-beleid worden geopend via functies.
Het sessiegebruikersidentiteitsmodel is geïntroduceerd naast de ABAC GA-release. Eerder werden beleidsregels geëvalueerd met behulp van de identiteit van de weergave-eigenaar of functie-definieerer. Zie de releaseopmerkingen van april 2026 voor meer informatie.
ABAC-beleid voor gerealiseerde weergaven en streamingtabellen
Opmerking
Voorheen werd ABAC-beleid voor gerealiseerde weergaven en streamingtabellen alleen ondersteund wanneer de eigenaar van de pijplijn of de run-as-identiteit was uitgesloten van het beleid. Deze beperking is verwijderd.
Wanneer een pijplijn een gerealiseerde weergave of streamingtabel vernieuwt, worden beleidsregels geëvalueerd met behulp van de identiteit van de pijplijneigenaar of de run-as-identiteit van de pijplijn. Als deze identiteit onderhevig is aan het beleid, bevat de gerealiseerde weergave of streamingtabel permanent gemaskeerde of gefilterde gegevens. Databricks raadt aan de vernieuwingsidentiteit vrijgesteld te houden met behulp van de EXCEPT component en consumenten die gemaskeerde of gefilterde gegevens in de TO component moeten zien.
Delta Sharing-tabellen met ABAC-beleid of weergaven waarnaar wordt verwezen
Tabellen met ABAC-beleid of weergaven die verwijzen naar tabellen met ABAC-beleid, kunnen alleen worden gedeeld via Delta Sharing als de eigenaar van de share is uitgesloten van het beleid (vermeld in de EXCEPT component). Het beleid bepaalt niet de toegang van de geadresseerde. Ontvangers kunnen hun eigen ABAC-beleid toepassen op gedeelde tabellen om toegangsbeheer aan hun zijde af te dwingen.
- Voor shareproviders, zie Tabellen en schema's die zijn beveiligd door ABAC-beleid toevoegen aan een share.
- Zie ABAC-beveiligde gegevens lezen en ABAC-beleid toepassen voor geadresseerden die delen ontvangen.
Zie Delta Sharing en ABAC voor meer informatie over het gebruik van Delta Sharing met ABAC.
Tijdreizen en klonen op tabellen met ABAC-beleid
ABAC-beleid kan niet worden geëvalueerd op basis van momentopnamen van historische tabellen, zodat query's voor tijdreizen mislukken in tabellen met actieve rijfilters of kolommaskers. Diepe en ondiepe klonen worden ook niet ondersteund voor tabellen met ABAC-beleid.
Als u deze bewerkingen wilt inschakelen, maakt u een service-principal of groep en voegt u deze toe aan de component van EXCEPT het beleid. Het beleid wordt niet geëvalueerd voor uitgesloten principals, zodat deze bewerkingen kunnen worden uitgevoerd.
Important
Uitgesloten principals zien niet-gefilterde, niet-gemaskeerde gegevens. Alleen vertrouwde identiteiten uitsluiten, zoals service-principals die worden gebruikt voor ETL- of pijplijnworkloads.
Met het volgende beleid worden bijvoorbeeld PII-kolommen voor alle gebruikers gemaskeerd, met uitzondering van de etl_service_principal, waarmee query's voor tijdreizen kunnen worden uitgevoerd en kloonbewerkingen kunnen worden uitgevoerd:
CREATE POLICY mask_pii
ON CATALOG prod
COLUMN MASK prod.governance.mask_value
TO `account users`
EXCEPT `etl_service_principal`
FOR TABLES
MATCH COLUMNS
has_tag_value('pii', 'ssn') AS ssn
ON COLUMN ssn;
Vectorzoekindexen en ABAC-beleid
ABAC-beleid voor een brontabel is niet van toepassing op vectorzoekindexen die zijn gemaakt op basis van die tabel. De index synchroniseert alle rijen uit de brontabel en dwingt geen beleid voor rijfilters of kolommaskers af bij het leveren van query's.
Voor tabellen met kolommaskers kunt u gemaskeerde kolommen uitsluiten van de index met behulp van de kolommen om de instelling te synchroniseren .
Meerdere beleidsregels in dezelfde tabel of kolom voor dezelfde gebruiker
Slechts één afzonderlijk rijfilter kan tijdens runtime worden omgezet voor een bepaalde tabel en een bepaalde gebruiker, en slechts één afzonderlijk kolommasker kan worden omgezet voor een bepaalde kolom en een bepaalde gebruiker. U kunt meerdere beleidsregels definiëren, maar wanneer een gebruiker een query op de tabel opvraagt, moeten de voorwaarden van één beleid overeenkomen. Als meerdere afzonderlijke rijfilters of kolommaskers van toepassing zijn op dezelfde gebruiker en tabel of kolom, blokkeert Azure Databricks de toegang en retourneert een fout. Meerdere beleidsregels zijn toegestaan als ze worden omgezet in hetzelfde rijfilter of kolommasker UDF met dezelfde argumenten.
Zie Regels voor meerdere filters en maskers voor meer informatie.
ABAC-beleid en informatieschema
Er is geen informatieschematabel voor ABAC-beleid. In de information_schema.row_filters tabel en information_schema.column_masks tabellen worden alleen rijfilters en kolommaskers op tabelniveau weergegeven. Ze tonen geen ABAC-beleidsdefinities of de filters en maskers die tijdens runtime zijn afgeleid van ABAC-beleid.
Als u ABAC-beleid wilt weergeven, gebruikt u de REST API van Unity Catalog. Gebeurtenissen voor het maken, wijzigen en verwijderen van beleid worden vastgelegd in de systeemtabel van het auditlogboek.
ABAC op toegewezen rekenkracht
Zie Beperkingen voor de beperkingen van ABAC op dedicated rekenkracht.
Beperkingen die gebruikelijk zijn voor ABAC- en rijfilters op tabelniveau en kolommaskers
Zie Beperkingen voor algemene beperkingen van rijfilters en kolommaskers die van toepassing zijn op zowel ABAC- als rijfilters op tabelniveau en kolommaskers.