Passa al contenuto principale
Piattaforma

Introduzione all'ABAC Cross-Engine

Definisci le policy ABAC in Unity Catalog e assicurati che vengano rispettate da qualsiasi motore

di Alex Jiang, Alex Reid e Michelle Leon

  • Unity Catalog applica controlli di accesso basati sugli attributi (ABAC) sui motori esterni. Definisci filtri di riga basati su tag e maschere di colonna una volta sola, e applicali da qualsiasi motore.
  • La governance centralizzata a livello di catalogo significa che le policy vengono applicate prima che i dati raggiungano il motore — nessuna logica di policy richiesta nel motore stesso.
  • L'ABAC cross-engine è costruito sulle API di scansione Iceberg REST Catalog, una specifica aperta che qualsiasi motore può adottare per delegare l'applicazione delle policy al catalogo.

A dicembre, abbiamo condiviso la nostra visione per completare il lakehouse: storage aperto, accesso aperto e governance unificata. Abbiamo descritto un mondo in cui le organizzazioni potevano definire policy di accesso granulari una sola volta in Unity Catalog e farle rispettare su ogni motore, su ogni tabella, per ogni utente. Oggi, stiamo estendendo quella visione.

Annunciamo la Beta dell'ABAC cross-engine, che consente alle aziende di applicare controlli di accesso basati sugli attributi (ABAC) sui motori esterni utilizzando le API REST Catalog di Iceberg. Con l'ABAC cross-engine, Unity Catalog diventa il primo e unico catalogo a fornire l'applicazione dell'ABAC cross-engine, consentendo ai filtri di riga basati su tag e alle maschere di colonna di essere applicati da ogni motore.

Perché è importante

Il lakehouse aperto pioniere di Databricks ha reso possibile l'interoperabilità. Formati di tabella aperti come Delta Lake e Apache Iceberg hanno liberato le organizzazioni dal lock-in; qualsiasi motore poteva leggere la stessa copia dei dati senza duplicare o convertire i dati in un formato diverso. Tuttavia, la governance non ha seguito. Le policy a livello di riga e di colonna sono rimaste isolate all'interno dei singoli runtime dei motori.

Ciò ha creato un doloroso compromesso per i team di sicurezza: duplicare manualmente le policy su ogni motore e sperare che rimanessero sincronizzate, mantenere copie di tabelle separate per diversi consumatori, o concedere un accesso più ampio del previsto e accettare il rischio.

L'ABAC cross-engine elimina quel compromesso.

Cosa offre l'ABAC Cross-engine

Con questa Beta, Unity Catalog applica policy di controllo degli accessi granulari sui dati letti dai motori esterni. Questo include:

  • Filtri di riga e maschere di colonna — la piena espressività delle policy di Unity Catalog, incluse regole basate su tag, logica condizionale e UDF SQL
  • Supporto multi-motore — poiché l'applicazione delle policy avviene tramite le API di scansione Iceberg REST Catalog, qualsiasi client Iceberg REST è supportato. L'ABAC cross-engine è aperto per design e non legato a un connettore specifico. Oggi, puoi usare Apache Spark tramite i connettori Iceberg-Spark e Delta-Spark. Altre integrazioni di motori come Starburst e DuckDB arriveranno presto.

Definisci le policy ABAC una volta in Unity Catalog e assicurati che vengano applicate ovunque — su Databricks o su qualsiasi motore che si integra con l'Iceberg REST Catalog.

Come funziona

L'ABAC cross-engine è costruito sulle API di scansione Iceberg REST Catalog, una specifica aperta che qualsiasi motore può adottare per delegare l'applicazione delle policy al catalogo. Con l'ABAC cross-engine, il catalogo gestisce l'applicazione delle policy e il motore gestisce la query. Le organizzazioni ottengono una sicurezza granulare senza sacrificare la flessibilità su dove vengono eseguite le loro query.

Quando un utente interroga una tabella con policy di controllo degli accessi granulari da un motore esterno:

  1. Il motore invia una richiesta di scansione a Unity Catalog tramite l'API di scansione Iceberg REST Catalog
  2. Unity Catalog valuta le autorizzazioni dell'utente e tutte le policy applicabili
  3. Unity Catalog restituisce un piano di scansione filtrato limitato ai dati a cui l'utente è autorizzato ad accedere
  4. Il motore completa la query sui file filtrati nel piano di scansione

L'applicazione avviene a livello di catalogo, prima che i dati raggiungano il motore. Il motore non ha bisogno di comprendere o implementare alcuna logica di policy; elabora solo i dati che riceve. Ciò significa che l'ABAC cross-engine può funzionare per qualsiasi motore, anche se non dispone di un runtime di governance nativo.

Uno sguardo al futuro

L'ABAC cross-engine offre oggi una governance unificata attraverso l'applicazione centralizzata: il catalogo valuta le policy e restituisce solo i dati a cui l'utente è autorizzato ad accedere. Questo è l'approccio migliore per i motori “non attendibili” che non dispongono di un runtime di governance nativo, e funziona immediatamente con qualsiasi motore che adotti le API di scansione Iceberg REST Catalog.

L'applicazione centralizzata è una parte del quadro. L'industria necessita anche di un approccio scalabile per lo scambio di policy e metadati — uno in cui i cataloghi possano condividere metadati di governance in modo che le policy possano essere applicate nativamente nei motori esterni.

Stiamo contribuendo a questa conversazione nella community di Apache Iceberg con una proposta affinché i cataloghi scambino etichette, che portano contesto di governance e semantico. Con etichette condivise, i motori nel lakehouse possono agire sullo stesso contesto di governance e aziendale indipendentemente da dove vengono letti i dati.

L'applicazione centralizzata e lo scambio di metadati sono complementari. Unity Catalog supporterà entrambi man mano che l'ecosistema dei dati si evolve.

Inizia

L'ABAC cross-engine è ora disponibile in Beta. Per provarlo:

  1. Abilita l'anteprima: Iscriviti a "Cross-engine ABAC" nel portale di anteprima di Databricks (vedi Gestisci anteprime Databricks)
  2. Definisci le tue policy ABAC: Crea filtri di riga basati su tag e maschere di colonna sulle tue tabelle Unity Catalog (vedi Documentazione ABAC)
  3. Interroga da un motore esterno: Connetti Apache Spark tramite il connettore Iceberg-Spark o Delta-Spark e conferma che le policy vengano applicate in lettura

Istruzioni complete per la configurazione e dettagli sono disponibili nella documentazione sull'ABAC cross-engine.

Nuovo in Unity Catalog? Segui le guide introduttive per AWS, Azure o GCP.

Unisciti a noi al Data and AI Summit 2026

Il Data and AI Summit 2026 è quasi arrivato! Unisciti a noi dal 15 al 18 giugno 2026 al Moscone Center di San Francisco, California, per scoprire come le organizzazioni leader utilizzano Unity Catalog per governare dati e AI su diversi motori. Registrati oggi per avere una prima anteprima di ciò che arriverà per la governance aperta e unificata.

(Questo post sul blog è stato tradotto utilizzando strumenti basati sull'intelligenza artificiale) Post originale

Ricevi gli ultimi articoli nella tua casella di posta

Iscriviti al nostro blog e ricevi gli ultimi articoli direttamente nella tua casella di posta.

Visualizza tutti i blog