Controle de acesso no Unity Catalog

O controle de acesso no Unity Catalog é baseado nos seguintes modelos complementares:

• Privilégios e controle de propriedade definem quem pode acessar o quê , utilizando concessões em objetos protegíveis.
• As políticas baseadas em atributos (ABAC) controlam a quais dados os usuários podem acessar, utilizando tags regulamentadas e políticas centralizadas.
• A filtragem e o mascaramento em nível de tabela controlam quais dados os usuários podem visualizar dentro das tabelas, utilizando filtros e visualizações específicos da tabela.
• Restrições em nível de espaço de trabalho controlam onde os usuários podem acessar os dados, limitando os objetos a espaços de trabalho específicos.

Esses modelos trabalham em conjunto para garantir um acesso seguro e granular em todo o seu ambiente de dados.

Quando usar cada mecanismo de controle de acesso

As associações de espaço de trabalho, os privilégios e as políticas ABAC avaliam o acesso em diferentes níveis e são projetados para serem usados em conjunto. A tabela a seguir compara-os em relação a critérios comuns de controle de acesso:

nota

Databricks recomenda o uso do controle de acesso baseado em atributos (ABAC) para centralizar e escalar o controle de acesso com base em tags regulamentadas. Utilize filtros de linha e máscaras de coluna somente quando precisar de lógica por tabela ou se ainda não tiver adotado o ABAC.

Mecanismo	Aplica-se a	Definido usando	Caso de uso
Privilégios	Catálogos, esquemas, tabelas	Subvenções (GRANT, REVOKE), propriedade	Acesso básico e delegação
Políticas ABAC	objetos de tags (tabelas, esquemas)	Políticas com tags e UDFs governadas	Políticas centralizadas, baseadas em tage aplicação dinâmica de políticas.
Filtros de linha/coluna em nível de tabela	Mesas individuais	UDFs na própria mesa	Filtragem ou mascaramento específico da tabela
vinculações de espaço de trabalho	Catálogos, locais externos, credenciais de armazenamento	atribuição de espaço de trabalho	Restringir o acesso a objetos de um espaço de trabalho específico

Modelo de permissões

• • Conceitos de permissões
  • Compreenda a hierarquia de objetos Unity Catalog , a herança de privilégios e como o acesso flui de objetos pai para objetos filho.
• • Referência a privilégios
  • Veja descrições detalhadas de cada privilégio no Unity Catalog.
• • Funções administrativas
  • Saiba mais sobre as funções de administrador account , administrador workspace e administrador de metastore e seus respectivos escopos.

ger acesso

• • Gerenciar privilégios
  • Conceda, revogue e inspecione privilégios em objetos Unity Catalog usando o Explorador de Catálogo e SQL.
• • Solicitações de acesso
  • Configure os destinos para solicitações de acesso a objetos protegíveis do Unity Catalog , incluindo email, Slack, Teams e webhooks.
• • vinculação de catálogo de espaço de trabalho
  • Restrinja quais espaços de trabalho podem acessar catálogos específicos, locais externos e credenciais de armazenamento.

Acesso a dados granulares

• • Controle de acesso baseado em atributos (ABAC)
  • Defina políticas centralizadas, baseadas em tag , que filtrem e classifiquem dinamicamente os dados em todo o seu catálogo.
• • Filtros de linha e máscaras de coluna
  • Aplique filtros por linha e coluna por tabela usando UDFs para controlar quais dados os usuários veem no momento da consulta.