Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Överväg följande metodtips för design och taggstyrning av ABAC-principer.
Standardisera attribut och namngivning
Upprätta en konsekvent taggningstaxonomi innan du skapar principer. Kom överens om taggnyckelnamn, tillåtna värden och namngivningskonventioner mellan team. En liten, väldefinierad uppsättning taggar är enklare att hantera än en spridning av ad hoc-taggar.
Använd till exempel en enda sensitivity tagg med kontrollerade värden (public, internal, confidential, restricted) i stället för flera överlappande taggar som is_sensitive, data_classoch pii_level.
Kontrollera vem som kan ange taggar
Taggning är en säkerhetsgräns i ABAC. Om en användare kan ändra taggar för en datatillgång kan de ändra vilka principer som gäller för den. Felaktiga eller saknade taggar kan göra data oskyddade eller otillgängliga eftersom principer endast gäller när rätt taggar finns på plats.
- Begränsa skapande och ändring av taggar till auktoriserade dataförvaltare eller styrningsadministratörer. Se Reglerade taggar för hur du konfigurerar taggbehörigheter.
- Granskningstaggen ändras regelbundet med hjälp av systemtabellen för granskningsloggar.
Ange reservregler för oklassificerade data
Anta inte att alla objekt är korrekt taggade. Använd automatisering för att tillämpa taggningsstandarder och implementera återställningsmekanismer för oklassificerade data:
- Använd en standardbegränsande tagg (t.ex
classification : unverified. ) för nya objekt tills en dataförvaltare granskar dem. - Skapa en princip som begränsar åtkomsten till objekt med standardtaggen.
Ett detaljerat exempel finns i Förhindra åtkomst tills känsliga kolumner har taggats.
Definiera principer med högsta tillämpliga omfång
Bifoga principer på katalog- eller schemanivå när det är möjligt. Principer på tabellnivå är sällsynta och bör vara undantaget.
Katalogomfattande principer utvärderas mot alla tabeller i katalogen och schemaomfattande principer utvärderas mot alla tabeller i schemat. När du lägger till nya tabeller gäller befintliga principer så länge deras taggar matchar principens villkor.
Undvik policyöverväxt
ABAC är utformat för att minska antalet regler för åtkomstkontroll, inte öka dem. Om team skapar för många taggar och principer är resultatet svårt att hantera och granska.
- Analysera dina styrningskrav innan du skapar principer.
- Börja med ett litet antal breda principer, till exempel PII-maskering i en katalog eller regional radfiltrering.
- Undvik att skapa en separat princip för varje gränsfall.
- Granska principer regelbundet och konsolidera överlappande principer.
Ett stort antal principer och komplexa villkor kan göra auktoriseringskontroller långsammare. Mer information finns i Prestandaöverväganden .
Föredra ATT/UTOM för huvudinriktning
När det är möjligt använder du principens TO och EXCEPT satserna för att definiera vilka användare och grupper principen gäller för. Detta håller UDF-logiken enkel. Satsen EXCEPT exkluderar specifika användare från principen helt och hållet så att de inte omfattas av någon filtrering eller maskering. När komplex villkorslogik krävs förblir identitetsfunktioner som is_account_group_member() i UDF:er ett giltigt alternativ.
Mer information finns i Metod för att rikta in sig på principaler.
Planera för dynamisk principutvärdering
ABAC-principer är dynamiska. Till skillnad från radfilter på tabellnivå och kolumnmasker, som är direkt synliga i tabelldefinitionen, utvärderas ABAC-principer vid frågetillfället baserat på användarens identitets- och gruppmedlemskap och taggarna på dataobjektet i principomfånget. Detta kan göra det svårare för datakonsumenter och tabellägare att förstå vilka åtkomstregler som gäller för en viss tabell.
- Använd
SHOW EFFECTIVE POLICIESför att avgöra vad som gäller för en specifik tabell. - Dokumentera din taggningstaxonomi, principer och grupphanteringsmetod så att teamen kan förstå styrningsmodellen utan att granska varje princip individuellt.
- Om transparens är viktigt för en specifik tabell bör du överväga att använda radfilter på tabellnivå och kolumnmasker för det isolerade fallet i stället. Se till att åtgärda eventuella konflikter först.
Läs mer
| Topic | Description |
|---|---|
| Prestandaöverväganden | Hur ABAC-principdesign påverkar frågeprestanda och hur du optimerar och testar dina principer. |
| När du ska använda ABAC jämfört med radfilter på tabellnivå och kolumnmasker | Skillnader i omfång, ägarskap och hur du väljer mellan de två metoderna. |
| Deltadelning och ABAC | Så här delar du ABAC-skyddade tabeller via Deltadelning, hanterar principer på mottagarsidan och konfigurerar mottagarlokala vyer. |