Les politiques de filtrage de lignes et de masquage de colonnes ABAC, les balises gouvernées et la classification des données sont maintenant généralement disponibles dans Unity Catalog

Sécurisez la protection des données grâce à la gouvernance automatisée dans Unity Catalog

À mesure que les parcs de données s'agrandissent, chaque organisation qui gère des données sensibles à grande échelle se pose la même question : comment garantir que les données sensibles sont protégées de manière cohérente sur chaque table, qu'elle contienne des informations personnelles identifiables (PII), des dossiers financiers, des données de santé ou tout autre élément soumis à des exigences de conformité ?

L'IA aggrave encore ce problème. Les utilisateurs peuvent accéder aux données de plus de façons qu'auparavant, via Genie, des agents, des API et plus encore. La protection doit suivre le rythme de la demande de données, sinon les contrôles d'accès finissent par limiter l'autonomisation créée par la technologie.

La réponse ne peut pas être une configuration manuelle par table. Il doit s'agir d'un système où les équipes de gouvernance définissent les règles une fois, et la protection suit automatiquement les données dans l'ensemble du parc de données au fur et à mesure de sa création et de sa classification. Ainsi, les utilisateurs et les agents peuvent se voir accorder un large accès à la plateforme sans se voir accorder un large accès aux données sensibles.

Aujourd'hui, nous sommes ravis d'annoncer la disponibilité générale de trois capacités complémentaires dans Unity Catalog qui rendent cela possible : les politiques de contrôle d'accès basé sur les attributs (ABAC) pour le filtrage des lignes et le masquage des colonnes, les balises gouvernées et la classification automatisée des données.

Pourquoi la gouvernance manuelle des données et les contrôles d'accès ne sont pas évolutifs

Trois problèmes entravent la protection des données sensibles à grande échelle.

1. Les règles d'accès configurées par objet sont répétitives et sujettes aux incohérences. Lorsque chaque table nécessite son propre filtre de ligne ou masque de colonne, des différences subtiles apparaissent : logique de masquage différente pour le même type de colonne, règles obsolètes sur les tables plus anciennes, définitions conflictuelles entre les équipes.
2. L'application qui dépend de la coordination avec les propriétaires d'objets laisse des lacunes. Les producteurs de données sont des experts dans la création de données, mais il faut beaucoup d'efforts pour s'assurer que toutes les colonnes sont classifiées et qu'aucune donnée sensible ne passe inaperçue. Les étapes d'application sont manquées ou bloquées par des personnes qui ont d'autres tâches à accomplir, et les lacunes ne sont découvertes que lors des audits ou des contrôles de conformité.
3. L'identification manuelle des données sensibles ne peut pas suivre la croissance. De nouvelles tables et de nouveaux enregistrements de données arrivent en continu, et l'entreprise s'attend à les utiliser immédiatement. Si la détection repose sur des humains, ou sur une logique de détection codée à la main dans des pipelines individuels pour chaque type de données entrant, elle sera en retard par rapport aux données et à la demande.

Ces défis nécessitent un changement par rapport à la gouvernance manuelle, objet par objet.

Comment Unity Catalog permet une gouvernance des données à fort effet de levier avec ABAC, les balises et la classification

Les règles d'accès doivent s'appliquer dynamiquement en fonction des attributs, les données sensibles doivent être détectées au fur et à mesure de leur apparition, et les responsabilités doivent être réparties entre des rôles spécialisés afin qu'aucune personne ne soit un goulot d'étranglement. Unity Catalog rassemble cela grâce à trois capacités complémentaires, associées à un modèle d'autorisation qui permet la séparation des tâches : les politiques de contrôle d'accès basé sur les attributs (ABAC), les balises gouvernées, et la classification des données par agent.

• Les politiques ABAC sont le modèle de contrôle d'accès dynamique d'Unity Catalog. Il contrôle l'accès en fonction des attributs des données, de sorte qu'une seule politique peut couvrir de nombreuses tables correspondantes au lieu que chacune soit configurée individuellement. Une politique ABAC évalue les conditions basées sur les balises et applique des filtres de lignes, qui contrôlent les lignes qu'un utilisateur voit, et des masques de colonnes, qui contrôlent les valeurs qu'un utilisateur voit pour des colonnes spécifiques, automatiquement à chaque objet correspondant dans des catalogues et des schémas entiers. Un administrateur de gouvernance définit la politique une fois, et les nouvelles données bénéficient de la protection dès que les bonnes balises sont en place.
• Les balises gouvernées sont la base d'attributs sur laquelle reposent les politiques ABAC : un vocabulaire de clés et de valeurs au niveau du compte qui standardise la manière dont les données sont décrites dans un compte, avec des autorisations qui contrôlent qui peut appliquer quelles balises à quels objets. Les balises sont des paires clé ou clé-valeur (comme sensibilité:confidentiel ou pii:ssn) qui s'attachent aux catalogues, schémas, tables et colonnes, et héritent des objets parents aux enfants.
• La classification des données par agent identifie automatiquement les données sensibles (PII, PHI, etc.) pour la gouvernance et la conformité. Les classificateurs intégrés couvrent les normes telles que le GDPR et le HIPAA, tandis que les classificateurs personnalisés étendent la détection aux modèles spécifiques à l'entreprise appris à partir de colonnes déjà balisées. En utilisant la reconnaissance de formes éprouvée, les métadonnées et les grands modèles linguistiques, elle offre une plus grande précision que les outils manuels ou basés uniquement sur les expressions régulières. Les nouvelles données sont automatiquement analysées pour garantir que toute donnée sensible introduite est détectée. Combinées aux politiques ABAC qui protègent les données avec des balises correspondantes, ces capacités garantissent une protection automatique et évolutive des données sensibles.

Ensemble, ces trois capacités permettent un modèle de gouvernance qui prend en charge la séparation des tâches. La gouvernance ne doit pas reposer sur une seule personne ou un seul rôle. Au lieu de cela, les responsabilités peuvent être réparties entre des groupes spécialisés qui sont experts dans leur domaine et n'ont pas à dépendre des autres pour faire leur travail. Unity Catalog prend en charge cela avec les autorisations et les limites appropriées pour les trois capacités, de sorte que chaque groupe ne peut effectuer que les actions dont il est responsable.

Séparation des tâches en pratique

Les trois capacités sont conçues pour fonctionner ensemble. Étant donné que les politiques, la taxonomie des balises, les autorisations et la classification opèrent tous dans Unity Catalog, il n'y a pas de transfert entre les systèmes, ni d'étape manuelle entre la découverte et la protection.

En pratique, le flux de travail ressemble à ceci :

1. Définir la taxonomie : Les équipes de gouvernance établissent la taxonomie des balises gouvernées, combinant des classificateurs intégrés (alignés sur des normes telles que GDPR, HIPAA, PCI), des classificateurs personnalisés pour les modèles répétables et des balises de métadonnées pour le contexte métier tel que les domaines ou les niveaux de sensibilité.
2. Créer des politiques ABAC : Les administrateurs de gouvernance définissent des politiques qui font référence à ces balises pour contrôler l'accès en fonction des attributs des données.
3. Classifier et protéger automatiquement les données : La classification s'exécute en continu, balisant les nouvelles données au fur et à mesure de leur arrivée. Les gestionnaires peuvent appliquer des balises si nécessaire, ce que le système apprend au fil du temps, réduisant ainsi l'effort manuel. Par conséquent, les données nouvellement balisées sont protégées immédiatement.
4. Permettre l'accès aux données gouvernées : Les producteurs de données créent des tables dans des étendues gouvernées, et les consommateurs de données interrogent les résultats, ne voyant que les lignes et les colonnes auxquelles ils sont autorisés à accéder.

« Chez Atlassian, la gouvernance de l'accès aux données et de la conformité sur des milliers d'utilisateurs et d'ensembles de données devenait de plus en plus complexe avec les modèles traditionnels basés sur les rôles. L'ABAC dans Unity Catalog nous a permis de définir des politiques d'accès granulaires basées sur les attributs des données, réduisant considérablement la surcharge opérationnelle de la gestion des autorisations à grande échelle. Ce qui nécessitait auparavant une gestion approfondie des autorisations manuelles se fait maintenant dynamiquement, permettant à nos équipes de se concentrer sur la fourniture d'informations plutôt que sur la gestion de l'accès. » — Gerald Nakhle, Ingénieur Logiciel, Atlassian

Nouveautés : Disponibilité générale des politiques ABAC, des balises gouvernées et de la classification des données

Les trois capacités sont désormais généralement disponibles, avec des améliorations qui répondent aux commentaires les plus fréquents des clients.

Politiques ABAC GA : contrôle d'accès basé sur les attributs dans tout le parc de données

Au moment de la GA, l'ABAC s'adapte aux plus grands parcs de données d'entreprise et ajoute des améliorations à l'évaluation et à la création des politiques. Les points forts de la GA incluent :

• Conçu pour les déploiements à l'échelle de l'entreprise. Les limites des politiques ont été multipliées par 10 dans chaque étendue, avec la prise en charge de plus de 10 000 politiques par metastore et de plus de 100 par catalogue et schéma.
• Évaluation de l'identité de session pour les vues et les fonctions. Les politiques ABAC sont désormais évaluées par rapport à l'identité de l'utilisateur qui exécute la requête. Les utilisateurs voient exactement ce que leurs propres autorisations leur permettent de voir, même lorsqu'ils interrogent via une vue ou une fonction.
• Une fonction de masquage pour de nombreux types de colonnes. Une seule UDF qui accepte et renvoie VARIANT peut masquer INT, DOUBLE, DECIMAL, et d'autres types numériques à la fois, et la même approche s'étend aux colonnes STRUCT. Cela réduit le nombre de politiques que les organisations doivent maintenir.

« Moins de politiques, moins de coûts, précision chirurgicale. L'ABAC a transformé la gouvernance des données d'Udemy d'une approche de force brute à une approche élégante. » — Rajit Saha | Directeur, Plateforme de données et d'IA, Udemy

Tags gouvernés GA : standardiser la classification des données avec des tags

En GA, les tags gouvernés ajoutent une gestion complète du cycle de vie via SQL, les API et l'interface utilisateur, ainsi que des contrôles administrateur plus robustes et une visibilité plus claire. Les points forts de la GA incluent :

• Gestion complète du cycle de vie avec SQL, API et interface utilisateur. Les administrateurs peuvent créer, modifier et inspecter des tags en utilisant SQL (CREATE, ALTER, DROP, SHOW, DESCRIBE GOVERNED TAG) ainsi que l'interface utilisateur, l'API REST et Terraform. Cela permet une automatisation et une intégration faciles dans les flux de travail existants.
• Contrôles d'administration de l'espace de travail. Les administrateurs d'espace de travail reçoivent CREATE par défaut (configurable) tandis que les administrateurs de compte reçoivent MANAGE et CREATE, permettant un contrôle flexible sur la gouvernance des tags.
• Visibilité améliorée sur la couverture et l'héritage des tags : L'interface utilisateur et les API offrent un aperçu plus clair de la manière dont les tags sont appliqués et hérités, aidant les équipes à suivre la couverture, à tracer les décisions de classification et à auditer les modifications.

Classification de données agentique GA : Détecter et taguer automatiquement les données à grande échelle

En GA, la classification étend la couverture de conformité, ajoute des contrôles de précision et débloque des classificateurs personnalisés pour les modèles spécifiques à l'entreprise. En plus de ses capacités actuelles, les points forts de la GA incluent :

• Visibilité complète des données sensibles en un seul endroit : Affichez toutes les classifications détectées dans un espace de travail et explorez où elles ont été trouvées, qui y a accès et où les politiques ABAC doivent être créées pour la protection.
• Validation humaine en boucle qui améliore continuellement la précision de la détection. Les commentaires des clients et les évaluations de qualité ont encore amélioré la précision de la détection. De plus, les utilisateurs peuvent exclure toute détection de faux positifs du marquage, ce qui améliore continuellement la précision des analyses futures.
• Couverture de conformité étendue. De nouveaux classificateurs couvrent le RGPD, la HIPAA, la GLBA, la DPDPA et la PCI, ainsi qu'un support régional au Royaume-Uni, en Allemagne, en Australie et au Brésil. Des classificateurs supplémentaires pour l'Inde et le Canada seront disponibles ce mois-ci. La liste complète se trouve ici.
• Classificateurs personnalisés en Beta. Les catégories spécifiques à l'entreprise sont désormais prises en charge. Donnez à la classification de données n'importe quel Tag Gouverné et le système identifiera automatiquement les colonnes correspondantes. Les modèles de détection sont appris à partir des colonnes taguées existantes et des métadonnées environnantes d'Unity Catalog, s'adaptant automatiquement à vos données.

« À mesure que notre entreprise grandit, les approches manuelles d'identification et de protection des données deviennent de plus en plus difficiles à maintenir. La classification de données agentique de Databricks remplace la surcharge manuelle par des résultats automatisés et de haute qualité qui augmentent les coûts proportionnellement à la valeur. La classification de données peut aider à fournir une visibilité continue sur l'emplacement des données clés dans nos environnements. Les classificateurs personnalisés peuvent s'adapter à nos modèles de données spécifiques, aidant à rationaliser la gestion de l'accès et de la conformité. Les politiques de contrôle d'accès basé sur les attributs (ABAC) peuvent nous permettre de faire évoluer les efforts de conformité grâce à la classification avec une surcharge manuelle réduite. » — Nan Wu, Ingénieur logiciel, Superhuman

Commencer avec l'ABAC, les tags gouvernés et la classification de données dans Unity Catalog

Les politiques ABAC, les tags gouvernés et la classification de données sont disponibles dès aujourd'hui dans Unity Catalog.

• Documentation ABAC : Apprenez à définir des filtres de lignes, des masques de colonnes et des modèles de politiques courants
• Documentation sur les tags gouvernés : Créez et gérez les définitions de tags et les autorisations
• Documentation sur la classification des données : Détectez automatiquement les classifications et les données sensibles dans tous les catalogues pour une posture de conformité.

Ces trois capacités représentent la base d'une gouvernance de données évolutive dans Unity Catalog. À mesure que votre parc de données grandit, le pipeline organiser-détecter-protéger évolue avec lui.

En savoir plus au Data and AI Summit

Rejoignez-nous à San Francisco, du 15 au 18 juin 2026, pour découvrir comment Data + AI Summit façonne l'avenir du contrôle d'accès basé sur les attributs et de la gouvernance des données.

(Cet article de blog a été traduit à l'aide d'outils basés sur l'intelligence artificielle) Article original