Come sfruttare sia ABAC che Delta Sharing attraverso i confini di governance
Le tabelle governate da ABAC possono ora essere condivise tramite Delta attraverso i confini organizzativi. Il provider e il destinatario applicano separatamente le proprie policy ABAC che sono conformi alla propria governance interna.
di Tia Chang, Harish Gaur e Yin Ouyang
- Condividi tabelle governate da controllo degli accessi basato sugli attributi tra cataloghi e schemi.
- I destinatari possono applicare le proprie policy di filtraggio delle righe e mascheramento delle colonne basate su ABAC su tabelle condivise tramite Delta.
- I provider possono avere una singola tabella sia per l'uso interno — governata da policy ABAC locali — sia per la condivisione esterna.
Le organizzazioni devono condividere i dati rapidamente. Ma mantenere quei dati al sicuro su larga scala è spesso difficile. Delta Sharing ora supporta il controllo degli accessi basato sugli attributi (ABAC), consentendoti di condividere tabelle protette con policy ABAC che utilizzano tag governati. I provider possono ora condividere direttamente le intere tabelle senza creare copie separate, e i destinatari possono applicare le proprie policy ABAC locali con la garanzia di un'applicazione corretta al momento della query.
Perché la condivisione ABAC è importante
ABAC è un modello di controllo degli accessi basato su policy che determinano l'accesso valutando gli attributi delle risorse, come il loro tipo o i tag applicati. Ad esempio, ABAC può mascherare qualsiasi colonna con un tag 'sensitive' in '*****', o limitare l'accesso ai record nelle tabelle con un tag 'sales' in modo che gli utenti vedano solo le righe che sono autorizzati a visualizzare.
Leggi come funziona ABAC in Unity Catalog
I provider di dati possono ora condividere direttamente tabelle governate da ABAC. Le policy ABAC del provider vengono applicate sul lato del provider, controllando quali dati sono accessibili agli utenti interni. Per abilitare la condivisione, un utente provider privilegiato è escluso da tali policy. I destinatari, a loro volta, possono definire le proprie policy indipendenti sul loro lato. Le policy del provider e del destinatario vengono applicate separatamente sui rispettivi lati — non c'è propagazione di policy tra di loro — dando ai destinatari la libertà di implementare i controlli di accesso pertinenti per le loro organizzazioni.
Passo dopo passo: Come funziona la condivisione di tabelle ABAC
1. Creazione di Condivisioni per i Destinatari dei Dati
I provider di dati selezionano gli asset da condividere e creano una condivisione dati tramite Delta Sharing. Non è necessario duplicare tabelle o ricreare manualmente la logica delle policy per ogni destinatario.
2. Governance sul Lato Destinatario e Controlli Aggiuntivi
Dopo che la tabella è stata condivisa, i destinatari possono applicare le proprie policy ABAC sulle tabelle condivise. Per farlo, i destinatari devono assicurarsi che i tag governati richiesti da tali policy siano applicati anche sul loro lato — le policy da sole non sono sufficienti senza i tag corrispondenti. Con questo rilascio, le policy sul lato destinatario vengono ora applicate correttamente al momento della query. Ciò consente ai destinatari di conformarsi ai propri requisiti di governance locali e implementare autonomamente logica di business aggiuntiva.
3. Applicazione delle Policy al Momento della Query e della Condivisione
Quando un destinatario accede ai dati condivisi, le policy di filtraggio delle righe e mascheramento delle colonne ABAC sul lato destinatario vengono valutate in base ai tag governati applicati sul loro lato, garantendo che ogni utente veda solo i dati che è autorizzato a visualizzare.
4. Audit, Registro di Governance e Conformità
Ogni azione, ogni creazione di policy, condivisione, richiesta di accesso, viene registrata in Unity Catalog. Questa tracciabilità supporta i requisiti normativi, le revisioni interne e le tracce di audit necessarie per le organizzazioni enterprise, e aiuta a identificare rapidamente le preoccupazioni di conformità.
Guarda questa breve demo per vedere come i provider di dati possono facilmente condividere tabelle protette da policy ABAC, consentendo ai destinatari di governare e analizzare i dati mantenendo i requisiti di sicurezza e conformità del provider.
Questo approccio alla condivisione dei dati, fluido e governato, ha già iniziato a generare un impatto reale per i nostri clienti. Ad esempio, Yanolja, una piattaforma di viaggi globale, ha sfruttato ABAC Sharing per migliorare il coinvolgimento dei propri partner.
Noi di Noluniverse siamo costantemente alla ricerca di modi per ridurre l'attrito nella condivisione dei dati tra i nostri vari workspace. Con ABAC Sharing, la capacità di applicare policy dinamiche tramite tag ci consente di condividere dati tra più regioni con totale sicurezza. Garantisce coerenza e usabilità per tutti i nostri consumatori di dati senza compromettere il controllo. — Jaeseong Hwang, Data Engineering Team Lead, Noluniverse
Inizia
- Guarda questo video per conoscere le best practice di Delta Sharing e i casi d'uso reali.
- Leggi la documentazione di Delta Sharing per iniziare a condividere tabelle con policy ABAC.
(Questo post sul blog è stato tradotto utilizzando strumenti basati sull'intelligenza artificiale) Post originale
Ricevi gli ultimi articoli nella tua casella di posta
Iscriviti al nostro blog e ricevi gli ultimi articoli direttamente nella tua casella di posta.