Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página lista requisitos, quotas de políticas e limitações atuais para controlo de acesso baseado em atributos (ABAC) no Catálogo Unity.
Requisitos de computação
Para usar políticas ABAC, você deve usar uma das seguintes configurações de computação:
- Computação sem servidor
- Computação padrão no Databricks Runtime 16.4 ou superior
- Computação dedicada no Databricks Runtime 16.4 ou superior com filtragem de controle de acesso refinada habilitada
Para orientações sobre a execução de cargas de trabalho que requerem runtimes mais antigos, veja Access from runtimes mais antigos.
Requisito de etiquetas reguladas
As políticas ABAC usam etiquetas governadas, não etiquetas não governadas. As etiquetas governadas são definidas ao nível da conta com controlos de acesso que determinam quem as pode criar, atribuir e gerir. Para detalhes completos, veja Etiquetas Governadas.
Note
Depois de atribuir ou modificar uma etiqueta, pode demorar alguns minutos até a alteração fazer efeito.
Quotas políticas
| Recurso | Limite |
|---|---|
| Políticas por metastore | 10.000 |
| Políticas por catálogo ou esquema | 100 |
| Políticas por tabela | 50 |
Princípios por política (aplica-se a ambas TO as cláusulas e EXCEPT acontecimentos) |
20 |
Condições de coluna por MATCH COLUMNS cláusula |
3 |
Para mais detalhes, incluindo quotas de etiquetas reguladas, consulte Limites de serviço.
Limitações ABAC
Acesso a partir de runtimes mais antigos
Computação padrão e dedicada no Databricks Versões de runtime anteriores à 16.4 não conseguem aceder a tabelas seguras por ABAC. Se precisares que certas cargas de trabalho continuem a correr num runtime mais antigo, define a política ABAC para um grupo específico em vez de a aplicares de forma abrangente. Adiciona apenas os utilizadores ou principais que queres que a política aplique a esse grupo e exclua o principal que executa a carga de trabalho de execução mais antiga usando a EXCEPT cláusula. Os utilizadores fora do grupo mantêm acesso total às tabelas subjacentes. Isto permite que essa carga continue a aceder às tabelas enquanto transita para um runtime suportado.
Políticas da ABAC sobre opiniões
Não podes aplicar as políticas ABAC diretamente às visualizações. No entanto, quando um utilizador consulta uma vista que faz referência a tabelas com políticas ABAC, essas políticas são respeitadas ao aceder a dados através da vista.
Os filtros de linhas ABAC e as máscaras de coluna nas tabelas subjacentes são avaliados usando a identidade do utilizador da sessão, ou seja, a pessoa que executa a consulta. O utilizador vê apenas as linhas e valores das colunas a que está autorizado a aceder, conforme definido pelas políticas ABAC nas tabelas base. As verificações de acesso à tabela base e as verificações de acesso às dependências utilizam a identidade do proprietário da vista, permitindo que os utilizadores consultem as vistas sem privilégios diretos nas tabelas subjacentes.
Note
O mesmo modelo de identidade de utilizador de sessão aplica-se quando tabelas com políticas ABAC são acedidas através de funções.
O modelo de identidade de utilizador de sessão foi introduzido juntamente com a versão ABAC GA. Anteriormente, as políticas eram avaliadas usando a identidade do proprietário da vista ou do definidor da função. Para mais informações, consulte as notas de lançamento de abril de 2026.
Políticas ABAC sobre visualizações materializadas e tabelas de streaming
Note
Anteriormente, as políticas ABAC sobre vistas Materializadas e tabelas de streaming só eram suportadas quando o proprietário do pipeline ou a identidade run-as estava isento da política. Essa limitação foi removida.
Quando um pipeline atualiza uma vista Materializada ou uma tabela de streaming, as políticas são avaliadas usando a identidade do proprietário do pipeline ou do run-as. Se essa identidade estiver sujeita à política, a visualização Materializada ou tabela de streaming contém permanentemente dados mascarados ou filtrados. A Databricks recomenda manter a identidade de atualização isenta usando a EXCEPT cláusula e direcionar os consumidores que devem ver dados mascarados ou filtrados na TO cláusula.
Tabelas de Partilha Delta com políticas ou vistas ABAC que as referenciam
Tabelas com políticas ou vistas ABAC que referenciam tabelas com políticas ABAC só podem ser partilhadas através do Delta Sharing se o acionista estiver isento da apólice (listado na EXCEPT cláusula). A política não regula o acesso do destinatário. Os destinatários podem aplicar as suas próprias políticas ABAC às tabelas partilhadas para impor controlo de acesso do seu lado.
- Para provedores de compartilhamento, consulte Adicionar tabelas e esquemas protegidos por políticas ABAC a um compartilhamento.
- Para recetores de partilha, consulte Ler dados ABAC protegidos e aplicar políticas ABAC.
Para detalhes sobre como usar o Delta Sharing com o ABAC, consulte Delta Sharing e ABAC.
Viagem no tempo e clonagem em tabelas com políticas ABAC
As políticas ABAC não podem ser avaliadas com snapshots históricos de tabelas, por isso as consultas de viagem no tempo falham em tabelas com filtros de linhas ativos ou máscaras de colunas. Clones profundos e superficiais também não são suportados em tabelas com políticas ABAC.
Para permitir estas operações, crie um principal ou grupo de serviço e adicione-o à cláusula da EXCEPT política. A política não é avaliada para diretores isentos, por isso estas operações podem decorrer.
Importante
Os diretores isentos veem dados não filtrados e sem máscara. Apenas isenta identidades confiáveis, como os principais de serviço usados para ETL ou cargas de trabalho de pipeline.
Por exemplo, a seguinte política oculta colunas de PII para todos os utilizadores, exceto para o etl_service_principal, que pode executar consultas de viagem no tempo e clonar operações:
CREATE POLICY mask_pii
ON CATALOG prod
COLUMN MASK prod.governance.mask_value
TO `account users`
EXCEPT `etl_service_principal`
FOR TABLES
MATCH COLUMNS
has_tag_value('pii', 'ssn') AS ssn
ON COLUMN ssn;
Índices de pesquisa vetorial e políticas ABAC
As políticas ABAC numa tabela de origem não se aplicam a índices de pesquisa vetorial criados a partir dessa tabela. O índice sincroniza todas as linhas da tabela de origem e não aplica políticas de filtro de linhas ou máscaras de coluna ao servir consultas.
Para tabelas com máscaras de colunas, podes excluir colunas mascaradas do índice usando a definição de colunas para sincronizar .
Múltiplas políticas na mesma tabela ou coluna para o mesmo utilizador
Apenas um filtro de linha distinto pode resolver em tempo de execução para uma dada tabela e um dado utilizador, e apenas uma máscara de coluna distinta pode resolver para uma determinada coluna e para um dado utilizador. Pode definir múltiplas políticas, mas quando um utilizador consulta a tabela, apenas as condições de uma política devem corresponder. Se se aplicarem múltiplos filtros de linhas distintos ou máscaras de coluna ao mesmo utilizador e tabela ou coluna, o Azure Databricks bloqueia o acesso e devolve um erro. São permitidas múltiplas políticas se resolverem para o mesmo filtro de linha ou UDF de máscara de coluna com os mesmos argumentos.
Para mais detalhes, consulte Regras para múltiplos filtros e máscaras.
Políticas e esquemas de informação ABAC
Não existe uma tabela de esquemas de informação para as políticas ABAC. As information_schema.row_filters tabelas e information_schema.column_masks mostram apenas filtros de linhas ao nível da tabela e máscaras de coluna. Não mostram as definições das políticas ABAC nem os filtros e máscaras derivados das políticas ABAC em tempo de execução.
Para listar as políticas ABAC, use a API REST do Unity Catalog. Os eventos de criação, modificação e eliminação de políticas são capturados na tabela do sistema de registos de auditoria.
ABAC em computação dedicada
Para conhecer as limitações do ABAC na computação dedicada, consulte Limitações.
Limitações comuns ao ABAC e aos filtros de linhas ao nível de tabela e máscaras de coluna
Para limitações gerais de filtros de linhas e máscaras de coluna que se aplicam tanto a filtros de linhas ABAC como a nível de tabela e máscaras de coluna, veja Limitações.