Ir al contenido principal
Plataforma

Presentamos ABAC entre motores

Define políticas de ABAC en Unity Catalog y asegúrate de que sean respetadas por cualquier motor

por Alex Jiang, Alex Reid y Michelle Leon

  • Unity Catalog aplica controles de acceso basados en atributos (ABAC) en motores externos. Define filtros de filas basados en etiquetas y máscaras de columnas una vez, y aplícalos desde cualquier motor.
  • La gobernanza centralizada en la capa del catálogo significa que las políticas se aplican antes de que los datos lleguen al motor; no se requiere lógica de políticas en el propio motor.
  • ABAC entre motores se basa en las API de escaneo del catálogo REST de Iceberg, una especificación abierta que cualquier motor puede adoptar para delegar la aplicación de políticas al catálogo.

En diciembre, compartimos nuestra visión para completar el lakehouse: almacenamiento abierto, acceso abierto y gobernanza unificada. Describimos un mundo donde las organizaciones podrían definir políticas de acceso de grano fino una vez en Unity Catalog y que estas se aplicaran en cada motor, en cada tabla, para cada usuario. Hoy, estamos ampliando esa visión.

Anunciamos la versión Beta de ABAC entre motores, que permite a las empresas aplicar controles de acceso basados en atributos (ABAC) en motores externos utilizando las API de catálogo REST de Iceberg. Con ABAC entre motores, Unity Catalog se convierte en el primer y único catálogo en ofrecer aplicación de ABAC entre motores, permitiendo que los filtros de filas basados en etiquetas y las máscaras de columnas se apliquen desde cualquier motor.

Por qué esto es importante

El lakehouse abierto que Databricks pionerizó hizo posible la interoperabilidad. Formatos de tabla abiertos como Delta Lake y Apache Spark liberaron a las organizaciones del bloqueo; cualquier motor podía leer la misma copia de datos sin duplicar ni convertir datos a un formato diferente. Sin embargo, la gobernanza no siguió. Las políticas a nivel de fila y columna permanecieron aisladas dentro de los tiempos de ejecución de motores individuales.

Esto creó una elección difícil para los equipos de seguridad: duplicar políticas manualmente en cada motor y esperar que se mantuvieran sincronizadas, mantener copias de tablas separadas para diferentes consumidores, o otorgar acceso más amplio de lo previsto y aceptar el riesgo.

ABAC entre motores elimina esa elección.

Lo que ofrece ABAC entre motores

Con esta versión Beta, Unity Catalog aplica políticas de control de acceso de grano fino a los datos leídos por motores externos. Esto incluye:

  • Filtros de filas y máscaras de columnas: la expresividad completa de las políticas de Unity Catalog, incluidas las reglas basadas en etiquetas, la lógica condicional y las UDF de SQL
  • Soporte multi-motor: dado que la aplicación de políticas se ejecuta a través de las API de escaneo del catálogo REST de Iceberg, se admite cualquier cliente REST de Iceberg. ABAC entre motores es abierto por diseño y no está vinculado a un conector específico. Hoy, puede usar Apache Spark a través de los conectores Iceberg-Spark y Delta-Spark. Próximamente se integrarán motores adicionales como Starburst y DuckDB.

Defina las políticas de ABAC una vez en Unity Catalog y asegúrese de que se apliquen en todas partes: en Databricks o en cualquier motor que se integre con el catálogo REST de Iceberg.

Cómo funciona

ABAC entre motores se basa en las API de escaneo del catálogo REST de Iceberg, una especificación abierta que cualquier motor puede adoptar para delegar la aplicación de políticas al catálogo. Con ABAC entre motores, el catálogo maneja la aplicación de políticas y el motor maneja la consulta. Las organizaciones obtienen seguridad de grano fino sin sacrificar la flexibilidad en cuanto a dónde se ejecutan sus consultas.

Cuando un usuario consulta una tabla con políticas de control de acceso de grano fino desde un motor externo:

  1. El motor envía una solicitud de escaneo a Unity Catalog a través de la API de escaneo del catálogo REST de Iceberg
  2. Unity Catalog evalúa los permisos del usuario y todas las políticas aplicables
  3. Unity Catalog devuelve un plan de escaneo filtrado limitado a los datos a los que el usuario está autorizado a acceder
  4. El motor completa la consulta contra los archivos filtrados en el plan de escaneo

La aplicación se realiza en la capa del catálogo, antes de que los datos lleguen al motor. El motor no necesita comprender ni implementar ninguna lógica de política; solo procesa los datos que recibe. Esto significa que ABAC entre motores puede funcionar para cualquier motor, incluso si no tiene un tiempo de ejecución de gobernanza nativo.

Mirando hacia el futuro

ABAC entre motores ofrece gobernanza unificada hoy a través de la aplicación centralizada: el catálogo evalúa las políticas y devuelve solo los datos a los que el usuario está autorizado a acceder. Este es el mejor enfoque para motores “no confiables” que no tienen un tiempo de ejecución de gobernanza nativo, y funciona de inmediato con cualquier motor que adopte las API de escaneo del catálogo REST de Iceberg.

La aplicación centralizada es una parte de la imagen. La industria también necesita un enfoque escalable para el intercambio de políticas y metadatos: uno donde los catálogos puedan compartir metadatos de gobernanza para que las políticas puedan aplicarse de forma nativa en motores externos.

Estamos contribuyendo a esta conversación en la comunidad de Apache Iceberg con una propuesta para que los catálogos intercambien etiquetas, que transportan contexto de gobernanza y semántico. Con etiquetas compartidas, los motores de todo el lakehouse pueden actuar sobre el mismo contexto de gobernanza y negocio, sin importar dónde se lean los datos.

La aplicación centralizada y el intercambio de metadatos son complementarios. Unity Catalog admitirá ambos a medida que evolucione el ecosistema de datos.

Comienza

ABAC entre motores ya está disponible en versión Beta. Para probarlo:

  1. Habilita la vista previa: inscríbete en "ABAC entre motores" en el portal de vista previa de Databricks (consulta Administrar vistas previas de Databricks)
  2. Define tus políticas de ABAC: crea filtros de filas basados en etiquetas y máscaras de columnas en tus tablas de Unity Catalog (consulta la documentación de ABAC)
  3. Consulta desde un motor externo: conecta Apache Spark a través de los conectores Iceberg-Spark o Delta-Spark y confirma que las políticas se aplican al leer

Las instrucciones completas de configuración y los detalles de configuración están disponibles en la documentación de ABAC entre motores.

¿Nuevo en Unity Catalog? Sigue las guías de inicio para AWS, Azure o GCP.

Únete a nosotros en Data and AI Summit 2026

¡Data and AI Summit 2026 está casi aquí! Únete a nosotros del 15 al 18 de junio de 2026 en el Moscone Center de San Francisco, California, para aprender cómo las organizaciones líderes están utilizando Unity Catalog para gobernar datos e IA en todos los motores. Regístrate hoy para obtener un primer vistazo a lo que vendrá para la gobernanza abierta y unificada.

(Esta entrada del blog ha sido traducida utilizando herramientas basadas en inteligencia artificial) Publicación original

Recibe las últimas publicaciones en tu bandeja de entrada

Suscríbete a nuestro blog y recibe las últimas publicaciones directamente en tu bandeja de entrada.

Ver todos los blogs