Unity 目录中的访问控制基于以下补充模型构建:
- 特权和所有权通过在可保护对象上设置权限,来控制谁可以访问哪些内容。
- 表级筛选和屏蔽 控制用户通过表特定的筛选器和视图在表中能够看到的数据。
- 工作区级别限制 通过将对象限制为特定工作区来控制用户可以 访问数据的位置 。
这些模型协同工作,在整个数据环境中强制实施安全、精细的访问。
何时使用每个访问控制机制
工作区绑定、特权和 ABAC 策略都评估不同级别的访问,它们旨在一起使用。 下表比较了常见访问控制条件:
| 机制 | 适用于 | 使用......定义 | 用例 |
|---|---|---|---|
| 特权 | 目录、架构、表 | 授予(GRANT、REVOKE),所有权 |
基线访问和委派 |
| 工作区绑定 | 目录、外部位置、存储凭据 | 工作区分配 | 限制从特定工作区访问对象 |
权限模型
| 主题 | Description |
|---|---|
| 权限概念 | 了解 Unity 目录对象层次结构、特权继承以及访问如何从父对象流向子对象。 |
| 权限参考 | 查看 Unity 目录中每个特权的详细说明。 |
| 管理员角色 | 了解帐户管理员、工作区管理员和元存储管理员角色及其范围。 |
管理访问权限
| 主题 | Description |
|---|---|
| 管理特权 | 使用目录资源管理器和 SQL 授予、撤销和检查 Unity 目录对象的权限。 |
| 访问请求 | 在 Unity 目录安全对象(包括电子邮件、Slack、Teams 和 Webhook)上配置访问请求的目标。 |
| 工作区目录绑定 | 限制哪些工作区可以访问特定目录、外部位置和存储凭据。 |