Wie Sie ABAC und Delta Sharing über Governance-Grenzen hinweg nutzen können
ABAC-gesteuerte Tabellen können jetzt über organisatorische Grenzen hinweg Delta Shared werden. Der Anbieter und der Empfänger wenden jeweils separat ihre eigenen ABAC-Richtlinien an, die ihren eigenen internen Governance-Richtlinien entsprechen.
Summary
- Teilen Sie Tabellen, die durch Attribute-Based Access Control über Kataloge und Schemas hinweg gesteuert werden.
- Empfänger können ihre eigenen ABAC-basierten Zeilenfilterungs- und Spaltenmaskierungsrichtlinien für Delta Shared-Tabellen anwenden.
- Anbieter können eine einzelne Tabelle sowohl für die interne Nutzung – gesteuert durch lokale ABAC-Richtlinien – als auch für die externe Freigabe haben.
Organisationen müssen Daten schnell austauschen. Aber die Sicherung dieser Daten in großem Maßstab ist oft schwierig. Delta Sharing unterstützt jetzt Attribute-Based Access Control (ABAC), mit dem Sie Tabellen freigeben können, die mit ABAC-Richtlinien gesichert sind und gesteuerte Tags verwenden. Anbieter können jetzt die gesamten Tabellen direkt freigeben, ohne separate Kopien zu erstellen, und Empfänger können ihre eigenen lokalen ABAC-Richtlinien mit der Garantie einer korrekten Abfragezeit-Durchsetzung anwenden.
Warum ABAC-Sharing wichtig ist
ABAC ist ein Zugriffssteuerungsmodell, das auf Richtlinien basiert, die den Zugriff durch Auswertung von Attributen von Ressourcen bestimmen, wie z. B. deren Typ oder angewendete Tags. Zum Beispiel kann ABAC jede Spalte mit dem Tag 'sensitiv' auf '*****' maskieren oder den Zugriff auf Datensätze in Tabellen mit dem Tag 'sales' einschränken, sodass Benutzer nur die Zeilen sehen, die sie anzeigen dürfen.
Lesen Sie, wie ABAC funktioniert in Unity Catalog
Datenanbieter können jetzt ABAC-gesteuerte Tabellen direkt freigeben. Die ABAC-Richtlinien des Anbieters werden auf der Seite des Anbieters durchgesetzt und steuern, welche Daten für interne Benutzer zugänglich sind. Um die Freigabe zu ermöglichen, wird ein privilegierter Anbieterbenutzer von diesen Richtlinien ausgeschlossen. Empfänger können ihrerseits ihre eigenen unabhängigen Richtlinien auf ihrer Seite definieren. Anbieter- und Empfängerrichtlinien werden jeweils auf ihrer Seite durchgesetzt – es gibt keine Richtlinienweitergabe zwischen ihnen –, was den Empfängern die Freiheit gibt, die für ihre Organisationen relevanten Zugriffssteuerungen zu implementieren.
Gartner®: Databricks als Leader für Cloud-Datenbanken
Schritt für Schritt: So funktioniert ABAC-Tabellenfreigabe
1. Erstellen von Freigaben für Datenempfänger
Datenanbieter wählen die freizugebenden Assets aus und erstellen eine Datentabelle über Delta Sharing. Kein Duplizieren von Tabellen oder manuelles Neuerstellen von Richtlinienlogik für jeden Empfänger erforderlich.
2. Governance und zusätzliche Kontrollen auf Empfängerseite
Nachdem die Tabelle freigegeben wurde, können Empfänger ihre eigenen ABAC-Richtlinien auf die freigegebenen Tabellen anwenden. Dazu müssen Empfänger sicherstellen, dass die von diesen Richtlinien geforderten gesteuerten Tags auch auf ihrer Seite angewendet werden – Richtlinien allein reichen ohne die entsprechenden Tags nicht aus. Mit dieser Einführung werden Empfängerrichtlinien jetzt zur Abfragezeit korrekt durchgesetzt. Dies ermöglicht es Empfängern, ihre lokalen Governance-Anforderungen zu erfüllen und zusätzliche Geschäftslogik unabhängig zu implementieren.
3. Richtliniendurchsetzung zur Abfrage- und Freigabezeit
Wenn ein Empfänger auf freigegebene Daten zugreift, werden die ABAC-Zeilenfilterungs- und Spaltenmaskierungsrichtlinien auf Empfängerseite basierend auf den auf ihrer Seite angewendeten gesteuerten Tags ausgewertet, um sicherzustellen, dass jeder Benutzer nur die Daten sieht, die er anzeigen darf.
4. Überwachung, Governance-Protokoll und Compliance
Jede Aktion, jede Richtlinienerstellung, Freigabe, jeder Zugriffsanfrage wird in Unity Catalog protokolliert. Diese Nachverfolgbarkeit unterstützt regulatorische Anforderungen, interne Überprüfungen und Audit-Trails, die für Unternehmensorganisationen erforderlich sind, und hilft, Compliance-Bedenken schnell zu identifizieren.
Sehen Sie in dieser kurzen Demo, wie Datenanbieter einfach Tabellen freigeben können, die durch ABAC-Richtlinien gesichert sind, und Empfängern die Verwaltung und Analyse der Daten ermöglichen, während die Sicherheits- und Compliance-Anforderungen des Anbieters eingehalten werden.
Dieser nahtlose, gesteuerte Ansatz für den Datenaustausch hat bereits begonnen, reale Auswirkungen für unsere Kunden zu erzielen. Yanolja, eine globale Reiseplattform, hat beispielsweise ABAC Sharing genutzt, um ihr Partnerengagement zu verbessern.
Bei Noluniverse suchen wir ständig nach Möglichkeiten, die Reibung beim Datenaustausch über unsere verschiedenen Arbeitsbereiche hinweg zu reduzieren. Mit ABAC Sharing ermöglicht uns die Möglichkeit, dynamische Richtlinien über Tags anzuwenden, Daten mit absoluter Zuversicht über mehrere Regionen hinweg freizugeben. Es gewährleistet Konsistenz und Benutzerfreundlichkeit für alle unsere Datenkonsumenten, ohne die Kontrolle zu beeinträchtigen. — Jaeseong Hwang, Data Engineering Team Lead, Noluniverse
Erste Schritte
- Sehen Sie sich dieses Video an, um Best Practices und reale Anwendungsfälle für Delta Sharing zu erfahren.
- Lesen Sie die Delta Sharing-Dokumentation, um mit der Freigabe von Tabellen mit ABAC-Richtlinien zu beginnen.
(Dieser Blogbeitrag wurde mit KI-gestützten Tools übersetzt.) Originalbeitrag