Les tables régies par l'ABAC peuvent désormais être partagées via Delta Sharing au-delà des frontières organisationnelles. Le fournisseur et le destinataire appliquent chacun séparément leurs propres politiques ABAC conformes à leur gouvernance interne.
par Tia Chang, Harish Gaur et Yin Ouyang
Les organisations doivent partager des données rapidement. Mais maintenir ces données sécurisées à grande échelle est souvent difficile. Delta Sharing prend désormais en charge le contrôle d'accès basé sur les attributs (ABAC), vous permettant de partager des tables sécurisées avec des politiques ABAC qui utilisent des balises gouvernées. Les fournisseurs peuvent désormais partager les tables entières directement sans créer de copies séparées, et les destinataires peuvent appliquer leurs propres politiques ABAC locales avec la garantie d'une application correcte au moment de la requête.

L'ABAC est un modèle de contrôle d'accès basé sur des politiques qui déterminent l'accès en évaluant les attributs des ressources, tels que leur type ou les balises qui leur sont appliquées. Par exemple, l'ABAC peut masquer toute colonne avec une balise 'sensitive' en '*****', ou restreindre l'accès aux enregistrements dans les tables avec une balise 'sales' afin que les utilisateurs ne voient que les lignes qu'ils sont autorisés à consulter.

Découvrez comment l'ABAC fonctionne dans Unity Catalog
Les fournisseurs de données peuvent désormais partager directement des tables régies par l'ABAC. Les politiques ABAC du fournisseur sont appliquées du côté du fournisseur, contrôlant les données accessibles aux utilisateurs internes. Pour permettre le partage, un utilisateur fournisseur privilégié est exclu de ces politiques. Les destinataires, à leur tour, peuvent définir leurs propres politiques indépendantes de leur côté. Les politiques du fournisseur et du destinataire sont appliquées chacune de leur côté respectif – il n'y a pas de propagation de politique entre eux – donnant aux destinataires la liberté de mettre en œuvre les contrôles d'accès pertinents pour leurs organisations.
1. Création de partages pour les destinataires de données
Les fournisseurs de données sélectionnent les actifs à partager et créent un partage de données via Delta Sharing. Il n'est pas nécessaire de dupliquer les tables ou de recréer manuellement la logique de politique pour chaque destinataire.
2. Gouvernance côté destinataire et contrôles supplémentaires
Une fois la table partagée, les destinataires peuvent appliquer leurs propres politiques ABAC sur les tables partagées. Pour ce faire, les destinataires doivent s'assurer que les balises gouvernées requises par ces politiques sont également appliquées de leur côté – les politiques seules ne suffisent pas sans les balises correspondantes. Avec ce lancement, les politiques côté destinataire sont désormais correctement appliquées au moment de la requête. Cela permet aux destinataires de se conformer à leurs exigences de gouvernance locales et de mettre en œuvre une logique métier supplémentaire de manière indépendante.
3. Application des politiques au moment de la requête et du partage
Lorsqu'un destinataire accède aux données partagées, les politiques ABAC de filtrage de lignes et de masquage de colonnes côté destinataire sont évaluées en fonction des balises gouvernées appliquées de leur côté, garantissant que chaque utilisateur ne voit que les données qu'il est autorisé à consulter.
4. Audit, journal de gouvernance et conformité
Chaque action, chaque création de politique, partage, demande d'accès, est enregistrée dans Unity Catalog. Cette traçabilité prend en charge les exigences réglementaires, les examens internes et les pistes d'audit nécessaires aux organisations d'entreprise, et aide à identifier rapidement les problèmes de conformité.
Regardez cette courte démo pour voir comment les fournisseurs de données peuvent facilement partager des tables sécurisées par des politiques ABAC, permettant aux destinataires de gouverner et d'analyser les données tout en respectant les exigences de sécurité et de conformité du fournisseur.
Cette approche transparente et gouvernée du partage de données a déjà commencé à avoir un impact réel pour nos clients. Par exemple, Yanolja, une plateforme de voyage mondiale, a tiré parti du partage ABAC pour améliorer l'engagement de ses partenaires.
Chez Noluniverse, nous cherchons constamment des moyens de réduire les frictions liées au partage de données entre nos différents espaces de travail. Avec le partage ABAC, la capacité d'appliquer des politiques dynamiques via des balises nous permet de partager des données dans plusieurs régions en toute confiance. Cela garantit la cohérence et la convivialité pour tous nos consommateurs de données sans compromettre le contrôle. — Jaeseong Hwang, Responsable de l'équipe d'ingénierie des données, Noluniverse
(Cet article de blog a été traduit à l'aide d'outils basés sur l'intelligence artificielle) Article original
Abonnez-vous à notre blog et recevez les derniers articles directement dans votre boîte mail.