Comment tirer parti d'ABAC et de Delta Sharing au-delà des frontières de gouvernance
Les tables régies par l'ABAC peuvent désormais être partagées via Delta Sharing au-delà des frontières organisationnelles. Le fournisseur et le destinataire appliquent chacun séparément leurs propres politiques ABAC conformes à leur gouvernance interne.
par Tia Chang, Harish Gaur et Yin Ouyang
- Partagez des tables régies par le contrôle d'accès basé sur les attributs entre les catalogues et les schémas.\n* Les destinataires peuvent appliquer leurs propres politiques ABAC de filtrage de lignes et de masquage de colonnes sur les tables partagées via Delta Sharing.\n* Les fournisseurs peuvent avoir une seule table pour l'utilisation interne – régie par des politiques ABAC locales – et pour le partage externe.
Les organisations doivent partager des données rapidement. Mais maintenir ces données sécurisées à grande échelle est souvent difficile. Delta Sharing prend désormais en charge le contrôle d'accès basé sur les attributs (ABAC), vous permettant de partager des tables sécurisées avec des politiques ABAC qui utilisent des balises gouvernées. Les fournisseurs peuvent désormais partager les tables entières directement sans créer de copies séparées, et les destinataires peuvent appliquer leurs propres politiques ABAC locales avec la garantie d'une application correcte au moment de la requête.
Pourquoi le partage ABAC est important
L'ABAC est un modèle de contrôle d'accès basé sur des politiques qui déterminent l'accès en évaluant les attributs des ressources, tels que leur type ou les balises qui leur sont appliquées. Par exemple, l'ABAC peut masquer toute colonne avec une balise 'sensitive' en '*****', ou restreindre l'accès aux enregistrements dans les tables avec une balise 'sales' afin que les utilisateurs ne voient que les lignes qu'ils sont autorisés à consulter.
Découvrez comment l'ABAC fonctionne dans Unity Catalog
Les fournisseurs de données peuvent désormais partager directement des tables régies par l'ABAC. Les politiques ABAC du fournisseur sont appliquées du côté du fournisseur, contrôlant les données accessibles aux utilisateurs internes. Pour permettre le partage, un utilisateur fournisseur privilégié est exclu de ces politiques. Les destinataires, à leur tour, peuvent définir leurs propres politiques indépendantes de leur côté. Les politiques du fournisseur et du destinataire sont appliquées chacune de leur côté respectif – il n'y a pas de propagation de politique entre eux – donnant aux destinataires la liberté de mettre en œuvre les contrôles d'accès pertinents pour leurs organisations.
Étape par étape : Comment fonctionne le partage de tables ABAC
1. Création de partages pour les destinataires de données
Les fournisseurs de données sélectionnent les actifs à partager et créent un partage de données via Delta Sharing. Il n'est pas nécessaire de dupliquer les tables ou de recréer manuellement la logique de politique pour chaque destinataire.
2. Gouvernance côté destinataire et contrôles supplémentaires
Une fois la table partagée, les destinataires peuvent appliquer leurs propres politiques ABAC sur les tables partagées. Pour ce faire, les destinataires doivent s'assurer que les balises gouvernées requises par ces politiques sont également appliquées de leur côté – les politiques seules ne suffisent pas sans les balises correspondantes. Avec ce lancement, les politiques côté destinataire sont désormais correctement appliquées au moment de la requête. Cela permet aux destinataires de se conformer à leurs exigences de gouvernance locales et de mettre en œuvre une logique métier supplémentaire de manière indépendante.
3. Application des politiques au moment de la requête et du partage
Lorsqu'un destinataire accède aux données partagées, les politiques ABAC de filtrage de lignes et de masquage de colonnes côté destinataire sont évaluées en fonction des balises gouvernées appliquées de leur côté, garantissant que chaque utilisateur ne voit que les données qu'il est autorisé à consulter.
4. Audit, journal de gouvernance et conformité
Chaque action, chaque création de politique, partage, demande d'accès, est enregistrée dans Unity Catalog. Cette traçabilité prend en charge les exigences réglementaires, les examens internes et les pistes d'audit nécessaires aux organisations d'entreprise, et aide à identifier rapidement les problèmes de conformité.
Regardez cette courte démo pour voir comment les fournisseurs de données peuvent facilement partager des tables sécurisées par des politiques ABAC, permettant aux destinataires de gouverner et d'analyser les données tout en respectant les exigences de sécurité et de conformité du fournisseur.
Cette approche transparente et gouvernée du partage de données a déjà commencé à avoir un impact réel pour nos clients. Par exemple, Yanolja, une plateforme de voyage mondiale, a tiré parti du partage ABAC pour améliorer l'engagement de ses partenaires.
Chez Noluniverse, nous cherchons constamment des moyens de réduire les frictions liées au partage de données entre nos différents espaces de travail. Avec le partage ABAC, la capacité d'appliquer des politiques dynamiques via des balises nous permet de partager des données dans plusieurs régions en toute confiance. Cela garantit la cohérence et la convivialité pour tous nos consommateurs de données sans compromettre le contrôle. — Jaeseong Hwang, Responsable de l'équipe d'ingénierie des données, Noluniverse
Commencer
- Regardez cette vidéo pour découvrir les meilleures pratiques de Delta Sharing et des cas d'utilisation réels.
- Lisez la documentation Delta Sharing pour commencer à partager des tables avec des politiques ABAC.
(Cet article de blog a été traduit à l'aide d'outils basés sur l'intelligence artificielle) Article original
Recevez les derniers articles dans votre boîte mail
Abonnez-vous à notre blog et recevez les derniers articles directement dans votre boîte mail.