Unity 카탈로그의 액세스 제어는 다음과 같은 보완 모델을 기반으로 합니다.
- 권한 및 소유권은 보안 가능한 개체에 대한 권한을 사용하여 누가무엇을 액세스할 수 있는지를 제어합니다.
- ABAC(특성 기반 정책) 는 관리 태그 및 중앙 집중식 정책을 사용하여 사용자가 액세스할 수 있는 데이터를 제어합니다.
- 테이블 수준 필터링 및 마스킹 은 테이블별 필터 및 뷰를 사용하여 테이블 내에서 사용자가 볼 수 있는 데이터를 제어 합니다.
- 작업 영역 수준 제한은 개체를 특정 작업 영역으로 제한하여 사용자가 데이터에 액세스할 수 있는 위치를 제어합니다.
이러한 모델은 데이터 환경에서 안전하고 세분화된 액세스를 적용하기 위해 함께 작동합니다.
각 액세스 제어 메커니즘을 사용하는 경우
작업 영역 바인딩, 권한 및 ABAC 정책은 모두 서로 다른 수준에서 액세스를 평가하며 함께 사용하도록 설계되었습니다. 다음 표에서는 일반적인 액세스 제어 조건과 비교합니다.
메모
Databricks는 ABAC(특성 기반 액세스 제어)를 사용하여 제어 태그에 따라 액세스 제어를 중앙 집중화하고 크기를 조정하는 것이 좋습니다. 테이블별 논리가 필요하거나 아직 ABAC를 채택하지 않은 경우에만 행 필터 및 열 마스크를 사용합니다.
| 메커니즘 | 적용 대상 | 다음을 사용하여 정의된다 | 사용 사례 |
|---|---|---|---|
| 권한 | 카탈로그, 스키마, 테이블 | 권한 부여(GRANT, REVOKE), 소유권 |
기본적인 접근 및 위임 |
| ABAC 정책 | 태그가 지정된 개체(테이블, 스키마) | 관리 태그 및 UDF를 사용하는 정책 | 중앙 집중식 태그 기반 정책 및 동적 적용 |
| 테이블 수준 행/열 필터 | 개별 테이블 | 테이블에 있는 UDF | 테이블별 필터링 또는 마스킹 |
| 작업 영역 바인딩 | 카탈로그, 외부 위치, 스토리지 자격 증명 | 작업 영역 할당 | 특정 작업 영역에서 개체에 대한 액세스 제한 |
사용 권한 모델
| 주제 | Description |
|---|---|
| 사용 권한 개념 | Unity 카탈로그 개체 계층 구조, 권한 상속 및 액세스가 부모 개체에서 자식 개체로 이동하는 방식을 이해합니다. |
| 권한 참조 | Unity 카탈로그의 모든 권한에 대한 자세한 설명을 봅니다. |
| 관리자 역할 | 계정 관리자, 작업 영역 관리자 및 metastore 관리자 역할 및 해당 범위에 대해 알아봅니다. |
접근 관리
| 주제 | Description |
|---|---|
| 권한 관리 | 카탈로그 탐색기 및 SQL을 사용하여 Unity 카탈로그 개체에 대한 권한을 부여, 해지 및 검사합니다. |
| 액세스 요청 | 메일, Slack, Teams 및 웹후크를 비롯한 Unity 카탈로그 보안 개체의 액세스 요청에 대한 대상을 구성합니다. |
| 작업 영역 카탈로그 바인딩 | 특정 카탈로그, 외부 위치 및 스토리지 자격 증명에 액세스할 수 있는 작업 영역을 제한합니다. |
세분화된 데이터 액세스
| 주제 | Description |
|---|---|
| ABAC(특성 기반 액세스 제어) | 카탈로그 전체에서 데이터를 동적으로 필터링하고 마스킹하는 중앙 집중식 태그 기반 정책을 정의합니다. |
| 행 필터 및 열 마스크 | UDF를 사용하여 테이블별 행 및 열 필터를 적용하여 쿼리 시 사용자가 보는 데이터를 제어합니다. |