Unity Catalogのアクセス制御

Unity Catalogにおけるアクセス制御は、以下の補完的なモデルに基づいて構築されています。

• 権限と所有権 は、セキュリティ保護可能なオブジェクトに対する権限付与を使用して、 誰が 何に アクセスできるかを制御します。
• 属性ベースポリシー（ABAC）は、 管理タグと集中管理ポリシーを使用して、ユーザーがアクセスできる データ を制御します。
• テーブルレベルのフィルタリングとマスキング は、テーブル固有のフィルタとビューを使用して、ユーザーがテーブル内で表示できる データ を制御します。
• ワークスペース レベルの制限は、 オブジェクトを特定のワークスペースに制限することで、ユーザーがデータにアクセスできる 場所を 制御します。

これらのモデルは連携して、データ環境全体にわたって安全できめ細かなアクセス制御を実現します。

各アクセス制御メカニズムをいつ使用するか

ワークスペースのバインディング、権限、および ABAC ポリシーはすべて、さまざまなレベルでアクセスを評価し、一緒に使用されるように設計されています。 以下の表は、一般的なアクセス制御基準に基づいてそれらを比較したものです。

注記

Databricks 、管理タグに基づいてアクセス制御を一元化および拡張するために、属性ベースのアクセス制御 (ABAC) を使用することを推奨しています。 行フィルターと列マスクは、テーブルごとのロジックが必要な場合、またはABACをまだ導入していない場合にのみ使用してください。

機構	適用対象	定義方法	ユースケース
権限	カタログ、スキーマ、テーブル	付与(GRANT, REVOKE), 所有権	基本アクセス権限と委任権限
ABACポリシー	タグ付きオブジェクト（テーブル、スキーマ）	管理タグとUDFに関するポリシー	中央集権型のタグ駆動型ポリシーと動的な執行
テーブルレベルの行/列フィルター	個別のテーブル	テーブル自体のUDF	テーブル固有のフィルタリングまたはマスキング
ワークスペースバインディング	カタログ、外部ロケーション、ストレージ認証情報	ワークスペースの割り当て	特定のワークスペースからのオブジェクトへのアクセスを制限する

権限モデル

• • 権限の概念
  • Unity Catalogオブジェクト階層、権限の継承、および親オブジェクトから子オブジェクトへのアクセス権の流れを理解する。
• • 特権参照
  • Unity Catalogで、各権限の詳細な説明をご覧ください。
• • 管理者ロール
  • アカウント管理者、ワークスペース管理者、メタストア管理者の役割とその範囲について学びましょう。

アクセスを管理する

• • 権限の管理
  • カタログエクスプローラーとSQLを使用して、 Unity Catalogオブジェクトに対する権限を付与、取り消し、および検査します。
• • アクセスリクエスト
  • Unity Catalogのセキュリティ保護可能なオブジェクト（電子メール、Slack、Teams、Webhookなど）へのアクセス要求の送信先を設定します。
• • ワークスペースカタログのバインディング
  • 特定のカタログ、外部ロケーション、およびストレージ認証情報にアクセスできるワークスペースを制限します。

きめ細かなデータアクセス

• • 属性ベースアクセス制御（ABAC）
  • カタログ全体でデータを動的にフィルタリングおよびマスキングする、タグ駆動型の集中管理ポリシーを定義します。
• • 行フィルターと列マスク
  • UDF（ユーザー定義関数）を使用してテーブルごとの行および列フィルタを適用することで、クエリ実行時にユーザーが表示するデータを制御できます。