Ir para o conteúdo principal
Plataforma

Apresentando ABAC entre Motores

Defina políticas de ABAC no Unity Catalog e garanta que elas sejam respeitadas por qualquer motor

por Alex Jiang, Alex Reid e Michelle Leon

  • O Unity Catalog aplica controles de acesso baseados em atributos (ABAC) em motores externos. Defina filtros de linha baseados em tags e máscaras de coluna uma vez e aplique-os a partir de qualquer motor.
  • A governança centralizada na camada do catálogo significa que as políticas são aplicadas antes que os dados cheguem ao motor — nenhuma lógica de política é necessária no próprio motor.
  • O ABAC entre motores é construído sobre as APIs de scan do Iceberg REST Catalog, uma especificação aberta que qualquer motor pode adotar para delegar a aplicação de políticas ao catálogo.

Em dezembro, nós compartilhamos nossa visão para completar o lakehouse: armazenamento aberto, acesso aberto e governança unificada. Descrevemos um mundo onde as organizações poderiam definir políticas de acesso de granularidade fina uma vez no Unity Catalog e tê-las aplicadas em todos os motores, em todas as tabelas, para todos os usuários. Hoje, estamos expandindo essa visão.

Estamos anunciando o Beta do ABAC entre motores, que permite que as empresas apliquem controles de acesso baseados em atributos (ABAC) em motores externos usando as APIs do Iceberg REST Catalog. Com o ABAC entre motores, o Unity Catalog se torna o primeiro e único catálogo a fornecer aplicação de ABAC entre motores, permitindo que filtros de linha baseados em tags e máscaras de coluna sejam aplicados a partir de qualquer motor.

Por que isso importa

O lakehouse aberto que a Databricks pioneira tornou a interoperabilidade possível. Formatos de tabela abertos como Delta Lake e Apache Iceberg libertaram as organizações do aprisionamento; qualquer motor poderia ler a mesma cópia de dados sem duplicar ou converter dados em um formato diferente. No entanto, a governança não acompanhou. Políticas de nível de linha e de nível de coluna permaneceram isoladas dentro de runtimes de motores individuais.

Isso criou um trade-off doloroso para as equipes de segurança: duplicar políticas manualmente em todos os motores e esperar que elas permaneçam sincronizadas, manter cópias de tabelas separadas para diferentes consumidores, ou conceder acesso mais amplo do que o pretendido e aceitar o risco.

O ABAC entre motores elimina esse trade-off.

O que o ABAC entre Motores oferece

Com este Beta, o Unity Catalog aplica políticas de controle de acesso de granularidade fina a dados lidos por motores externos. Isso inclui:

  • Filtros de linha e máscaras de coluna — toda a expressividade das políticas do Unity Catalog, incluindo regras baseadas em tags, lógica condicional e UDFs SQL
  • Suporte a múltiplos motores — como a aplicação de políticas é executada através das APIs de scan do Iceberg REST Catalog, qualquer cliente Iceberg REST é suportado. O ABAC entre motores é aberto por design e não está vinculado a um conector específico. Hoje, você pode usar Apache Spark através dos conectores Iceberg-Spark e Delta-Spark. Integrações adicionais de motores como Starburst e DuckDB estarão disponíveis em breve.

Defina políticas de ABAC uma vez no Unity Catalog e garanta que elas sejam aplicadas em todos os lugares — no Databricks ou em qualquer motor que se integre ao Iceberg REST Catalog.

Como funciona

O ABAC entre motores é construído sobre as APIs de scan do Iceberg REST Catalog, uma especificação aberta que qualquer motor pode adotar para delegar a aplicação de políticas ao catálogo. Com o ABAC entre motores, o catálogo lida com a aplicação de políticas e o motor lida com a consulta. As organizações obtêm segurança de granularidade fina sem sacrificar a flexibilidade de onde suas consultas são executadas.

Quando um usuário consulta uma tabela com políticas de controle de acesso de granularidade fina de um motor externo:

  1. O motor envia uma solicitação de scan para o Unity Catalog via API de scan do Iceberg REST Catalog
  2. O Unity Catalog avalia as permissões do usuário e todas as políticas aplicáveis
  3. O Unity Catalog retorna um plano de scan filtrado com escopo para os dados aos quais o usuário está autorizado a acessar
  4. O motor completa a consulta contra os arquivos filtrados no plano de scan

A aplicação ocorre na camada do catálogo, antes que os dados cheguem ao motor. O motor não precisa entender ou implementar nenhuma lógica de política; ele processa apenas os dados que recebe. Isso significa que o ABAC entre motores pode funcionar para qualquer motor, mesmo que ele não tenha um runtime de governança nativo.

Olhando para o futuro

O ABAC entre motores oferece governança unificada hoje através da aplicação centralizada: o catálogo avalia as políticas e retorna apenas os dados aos quais o usuário está autorizado a acessar. Esta é a melhor abordagem para motores "não confiáveis" que não possuem um runtime de governança nativo, e funciona imediatamente com qualquer motor que adote as APIs de scan do Iceberg REST Catalog.

A aplicação centralizada é uma parte do quadro. A indústria também precisa de uma abordagem escalável para troca de metadados e políticas — uma onde os catálogos possam compartilhar metadados de governança para que as políticas possam ser aplicadas nativamente em motores externos.

Estamos contribuindo para essa conversa na comunidade Apache Iceberg com uma proposta para que os catálogos troquem rótulos, que carregam contexto de governança e semântico. Com rótulos compartilhados, os motores em todo o lakehouse podem agir sobre o mesmo contexto de governança e negócios, não importa onde os dados sejam lidos.

A aplicação centralizada e a troca de metadados são complementares. O Unity Catalog suportará ambos à medida que o ecossistema de dados evolui.

Comece

O ABAC entre motores está agora disponível em Beta. Para experimentá-lo:

  1. Ative a prévia: Inscreva-se em "ABAC entre motores" no portal de prévia do Databricks (veja Gerenciar prévias do Databricks)
  2. Defina suas políticas de ABAC: Crie filtros de linha baseados em tags e máscaras de coluna em suas tabelas do Unity Catalog (veja Documentação de ABAC)
  3. Consulte de um motor externo: Conecte Apache Spark através dos conectores Iceberg-Spark ou Delta-Spark e confirme que as políticas são aplicadas na leitura

Instruções completas de configuração e detalhes de configuração estão disponíveis na documentação de ABAC entre motores.

Novo no Unity Catalog? Siga os guias de introdução para AWS, Azure ou GCP.

Junte-se a nós no Data and AI Summit 2026

O Data and AI Summit 2026 está quase chegando! Junte-se a nós de 15 a 18 de junho de 2026 no Moscone Center em São Francisco, Califórnia, para aprender como as principais organizações estão usando o Unity Catalog para governar dados e IA em todos os motores. Registre-se hoje para ter um primeiro olhar sobre o que vem a seguir para governança aberta e unificada.

(Esta publicação no blog foi traduzida utilizando ferramentas baseadas em inteligência artificial) Publicação original

Receba os posts mais recentes na sua caixa de entrada

Assine nosso blog e receba os posts mais recentes diretamente na sua caixa de entrada.

Ver todos os blogs