ABACとDelta Sharingをガバナンス境界を越えて活用する方法

組織は迅速なデータ共有を必要としています。しかし、そのデータを大規模に安全に保つことはしばしば困難です。Delta Sharingは属性ベースのアクセス制御（ABAC）をサポートするようになり、ガバナンスタグを使用したABACポリシーで保護されたテーブルを共有できるようになりました。プロバイダーは、個別のコピーを作成することなく、テーブル全体を直接共有できるようになり、受信者はクエリ時の正しい強制を保証された上で、独自のローカルABACポリシーを適用できるようになります。

ABAC共有が重要な理由

ABACは、リソースのタイプや適用されているタグなどの属性を評価することでアクセスを決定するポリシーに基づいたアクセス制御モデルです。例えば、ABACは「sensitive」タグを持つ任意の列を「*****」にマスクしたり、「sales」タグを持つテーブルのレコードへのアクセスを制限して、ユーザーが承認された行のみを表示できるようにすることができます。

Unity CatalogでのABACの仕組みについてはこちらをお読みください。

データプロバイダーは、ABACで管理されたテーブルを直接共有できるようになりました。プロバイダーのABACポリシーはプロバイダー側で強制され、内部ユーザーがアクセスできるデータを制御します。共有を可能にするために、特権を持つプロバイダーユーザーはこれらのポリシーから除外されます。受信者は、自分の側で独自の独立したポリシーを定義できます。プロバイダーと受信者のポリシーは、それぞれ自身の側で強制されます（ポリシーの伝播はありません）。これにより、受信者は組織に関連するアクセス制御を自由に実装できます。

ステップバイステップ：ABACテーブル共有の仕組み

1. データ受信者向けの共有の構築
データプロバイダーは共有するアセットを選択し、Delta Sharing経由でデータ共有を構築します。受信者ごとにテーブルを複製したり、ポリシーロジックを手動で再作成したりする必要はありません。

2. 受信者側のガバナンスと追加制御
テーブルが共有された後、受信者は共有テーブルに独自のABACポリシーを適用できます。これを行うには、受信者は、それらのポリシーで必要とされるガバナンスタグも自身の側で適用されていることを確認する必要があります。ポリシーだけでは、対応するタグなしでは十分ではありません。このリリースにより、受信者側のポリシーがクエリ時に正しく強制されるようになります。これにより、受信者はローカルのガバナンス要件に準拠し、追加のビジネスロジックを独立して実装できます。

3. クエリ時および共有時のポリシー強制
受信者が共有データにアクセスすると、受信者側のABAC行フィルタリングおよび列マスキングポリシーは、自身の側で適用されたガバナンスタグに基づいて評価され、各ユーザーが承認されたデータのみを表示できるようにします。

4. 監査、ガバナンスログ、およびコンプライアンス
すべての操作、すべてのポリシー作成、共有、アクセス要求は、Unity Catalogに記録されます。このトレーサビリティは、エンタープライズ組織に必要な規制要件、内部レビュー、および監査証跡をサポートし、コンプライアンス上の懸念を迅速に特定するのに役立ちます。

この短いデモをご覧ください。データプロバイダーがABACポリシーで保護されたテーブルを簡単に共有し、受信者がプロバイダーのセキュリティとコンプライアンス要件を維持しながらデータをガバナンスおよび分析できるようにする方法を確認できます。

このシームレスでガバナンスされたデータ共有アプローチは、すでに顧客に実際のインパクトをもたらし始めています。例えば、グローバルな旅行プラットフォームであるYanoljaは、ABAC共有を活用してパートナーエンゲージメントを改善しました。

Noluniverseでは、さまざまなワークスペース間でデータ共有の摩擦を軽減する方法を常に探しています。ABAC共有では、タグを介して動的なポリシーを適用できるため、複数のリージョン間で完全に信頼してデータを共有できます。制御を損なうことなく、すべてのデータコンシューマーの一貫性と使いやすさを保証します。 — Jaeseong Hwang、データエンジニアリングチームリード、Noluniverse

はじめに

• このビデオを見て、Delta Sharingのベストプラクティスと実際のユースケースを学びましょう。
• Delta Sharingのドキュメントを読んで、ABACポリシーを使用してテーブルの共有を開始しましょう。

(このブログ記事はAI翻訳ツールを使用して翻訳されています) 原文記事