推出跨引擎属性基访问控制（ABAC）

推出跨引擎 ABAC | Databricks 博客

跳至主要内容

[](https://www.databricks.com/)

[](https://www.databricks.com/)

• 为什么选择 Databricks

• * 了解

• 面向应用开发者

• 面向高管

• 面向初创企业

• 湖仓一体架构

• Databricks AI 研究

• 客户

• 客户案例

• 合作伙伴

• 合作伙伴概览 了解 Databricks 合作伙伴生态系统

• 合作伙伴计划 了解权益、级别及如何成为合作伙伴

• 查找合作伙伴 为您的需求发现 Databricks 合作伙伴

• 合作伙伴亮点 特别合作伙伴公告

• 云服务提供商 Databricks 在 AWS、Azure 和 GCP 上

• 合作伙伴解决方案 查找行业与迁移定制方案

• 产品

• * Databricks 平台

• 平台概览 统一的数据、分析与 AI 平台

• 共享 开放、安全、零拷贝的数据共享

• 治理 统一的数据、分析与 AI 资产治理

• 人工智能 构建与部署机器学习与生成式 AI 应用

• 商业智能 面向真实数据的智能分析

• 数据库 适用于数据应用与 AI 代理的 Postgres

• 数据管理 数据可靠性、安全与性能

• 数据仓库 用于 SQL 分析的无服务器数据仓库

• 数据工程 批量与流式数据的 ETL 与编排

• 业务生产力 统一搜索、聊天、仪表板与应用

• 应用开发 快速构建安全的数据与 AI 应用

• 安全 面向 AI 时代的开放代理式 SIEM

• 集成与数据

• 市场 开放的市场，提供数据、分析与 AI

• IDE 集成 在您喜爱的 IDE 中构建湖仓一体

• 合作伙伴连接 发现并集成 Databricks 生态系统

• 价格

• Databricks 价格 了解产品价格、DBUs 等

• 成本计算器 估算任意云上的计算成本

• 开源

• 开源技术 了解平台背后的技术创新

• 解决方案

• * 行业解决方案

• 电信

• 金融服务

• 医疗与生命科学

• 制造

• 媒体与娱乐

• 公共部门

• 零售

• 查看所有行业

• 跨行业解决方案

• AI 代理

• AI 治理

• 网络安全

• 营销

• 迁移与部署

• 数据迁移

• 专业服务

• 解决方案加速器

• 资源

• 学习

• 培训 发现符合您需求的课程

• Databricks 学院 登录 Databricks 学习平台

• 认证 获得认可与差异化

• 免费版 免费学习专业的数据与 AI 工具

• 大学联盟 想教授 Databricks 吗？了解详情

• 活动

• Data + AI 峰会

• Data + AI 世界巡展

• AI Days

• 活动日历

• 博客与播客

• Databricks 博客 了解新闻、产品公告等

• AI 博客 探索我们的 AI 研究与工程工作

• Data Brew 播客 来聊聊数据！

• 数据与 AI 领袖播客 来自驱动创新的数据领袖的洞见

• 获取帮助

• 客户支持

• 文档

• 社区

• 深入探索

• 资源中心

• 演示中心

• 架构中心

• 关于

• 公司

• 关于我们

• 我们的团队

• Databricks 风险投资

• 联系我们

• 职业

• 在 Databricks 工作

• 职位空缺

• 媒体

• 奖项与认可

• 新闻室

• 安全与信任

• 安全与信任

• DATA + AI SUMMIT 

• 登录
• 联系我们
• 试用 Databricks

1. 全部博客
2. / 平台

目录

目录

目录

平台2026 年 6 月 2 日

推出跨引擎 ABAC

在 Unity Catalog 中定义 ABAC 策略，并确保任何引擎都能遵循

作者：Alex Jiang、Alex Reid 和 Michelle Leon

摘要

• Unity Catalog 在外部引擎上强制执行基于属性的访问控制（ABAC）。一次定义基于标签的行过滤和列掩码，并从任何引擎强制执行。
• 在目录层进行集中治理，意味着在数据到达引擎之前就已强制执行策略——引擎本身无需包含策略逻辑。
• 跨引擎 ABAC 基于 Iceberg REST Catalog 扫描 API，这是一个开放规范，任何引擎均可采用以将策略强制执行委托给目录。

去年 12 月，我们分享了愿景，即完成湖仓一体：开放存储、开放访问和统一治理。我们描述了一个组织可以在 Unity Catalog 中一次性定义细粒度访问策略，并在每个引擎、每张表、每个用户中强制执行的世界。今天，我们在此愿景上更进一步。

我们宣布 跨引擎 ABAC 进入 Beta 阶段，该功能通过 Iceberg REST Catalog API 使企业能够在外部引擎上强制执行基于属性的访问控制（ABAC）。借助跨引擎 ABAC，Unity Catalog 成为首个也是唯一一个提供跨引擎 ABAC 强制执行的目录，使基于标签的行过滤和列掩码能够在每个引擎中得到强制执行。

为什么这很重要

Databricks 开创的开放湖仓架构使互操作性成为可能。开放表格式（如 Delta Lake 和 Apache Iceberg）让组织摆脱了绑定，任何引擎都可以读取同一份数据，无需复制或转换为不同格式。然而，治理并未跟上。行级和列级策略仍然被隔离在各个引擎运行时中。

这为安全团队带来了痛苦的权衡：在每个引擎上手动复制策略并希望它们保持同步，为不同消费者维护独立的表副本，或授予超出预期的访问权限并接受风险。

跨引擎 ABAC 消除了这种权衡。

跨引擎 ABAC 提供的内容

在此次 Beta 中，Unity Catalog 对外部引擎读取的数据实施细粒度访问控制策略。这包括：

• 行过滤和列遮蔽 — Unity Catalog 策略的完整表达能力，包括基于标签的规则、条件逻辑和 SQL UDF
• 多引擎支持 — 由于策略执行通过 Iceberg REST Catalog 扫描 API 进行，任何 Iceberg REST 客户端都得到支持。跨引擎 ABAC 以开放方式设计，不依赖特定连接器。目前，您可以通过 Iceberg-Spark 和 Delta-Spark 连接器使用 Apache Spark。更多引擎集成（如 Starburst 和 DuckDB）即将推出。

在 Unity Catalog 中一次性定义 ABAC 策略，并确保在任何地方都得到执行 —— 无论是在 Databricks 还是与 Iceberg REST Catalog 集成的任何引擎上。

工作原理

跨引擎 ABAC 基于 Iceberg REST Catalog 扫描 API，这是一个开放规范，任何引擎都可以采用以将策略执行委托给目录。借助跨引擎 ABAC，目录负责策略执行，引擎负责查询。组织在不牺牲查询运行位置的灵活性的情况下获得细粒度安全。

当用户从外部引擎查询带有细粒度访问控制策略的表时：

1. 引擎通过 Iceberg REST Catalog 扫描 API 向 Unity Catalog 发送扫描请求
2. Unity Catalog 评估用户权限并应用所有相关策略
3. Unity Catalog 返回一个过滤后的扫描计划，仅包含用户有权访问的数据
4. 引擎根据扫描计划中的过滤文件完成查询

执行在目录层进行，在数据到达引擎之前。引擎无需理解或实现任何策略逻辑，只需处理收到的数据。这意味着跨引擎 ABAC 可用于任何引擎，即使其没有原生治理运行时。

展望未来

跨引擎 ABAC 通过集中式执行提供统一治理：目录评估策略并仅返回用户有权访问的数据。这是针对“不可信”引擎（没有原生治理运行时）的最佳方法，并且可立即与采用 Iceberg REST Catalog 扫描 API 的任何引擎配合使用。

集中式执行只是其中一部分。行业还需要一种可扩展的策略与元数据交换方法——让目录能够共享治理元数据，以便在外部引擎中原生执行策略。

我们正在 Apache Iceberg 社区推进这一讨论，提出 目录间交换标签 的方案，标签承载治理和语义上下文。通过共享标签，湖仓中的引擎无论在何处读取数据，都能基于相同的治理和业务上下文进行操作。

集中式执行与元数据交换相辅相成。随着数据生态系统的演进，Unity Catalog 将同时支持这两种方式。

开始使用

跨引擎 ABAC 现已进入 Beta。要试用：

1. 启用预览：在 Databricks 预览门户中注册“跨引擎 ABAC”（参见 管理 Databricks 预览）
2. 定义您的 ABAC 策略：在 Unity Catalog 表上创建基于标签的行过滤和列遮蔽（参见 ABAC 文档）
3. 从外部引擎查询：通过 Iceberg-Spark 或 Delta-Spark 连接器连接 Apache Spark，并确认读取时策略得到执行

完整的设置说明和配置详情请参阅 跨引擎 ABAC 文档。

不熟悉 Unity Catalog？请查看 AWS、Azure 或 GCP 的入门指南。

参加 2026 年数据与 AI 峰会

2026 年数据与 AI 峰会即将开幕！6 月 15–18 日，欢迎来到美国加州旧金山 Moscone 中心，了解领先组织如何使用 Unity Catalog 在各引擎间治理数据与 AI。立即注册，抢先了解开放统一治理的未来。

订阅我们的博客

订阅我们的博客，将最新文章直接送达您的邮箱。

注册

*

工作邮箱

*

国家/地区 国家/地区*

通过点击“订阅”，我理解我将接收 Databricks 的通讯，并同意 Databricks 按照其隐私政策处理我的个人数据。

订阅

查看所有博客

为什么选择 Databricks

探索

• 面向应用开发者
• 面向高管
• 面向初创企业
• 湖仓一体架构
• Databricks AI 研究

客户

• 客户案例

合作伙伴

• 合作伙伴概览
• 合作伙伴计划
• 查找合作伙伴
• 合作伙伴聚焦
• 云服务提供商
• 合作伙伴解决方案

为什么选择 Databricks

探索

• 面向应用开发者
• 面向高管
• 面向初创企业
• 湖仓一体架构
• Databricks AI 研究

客户

• 客户案例

合作伙伴

• 合作伙伴概览
• 合作伙伴计划
• 查找合作伙伴
• 合作伙伴聚焦
• 云服务提供商
• 合作伙伴解决方案

产品

Databricks 平台

• 平台概览
• 共享
• 治理
• 人工智能
• 商业智能
• 数据库
• 数据管理
• 数据仓库
• 数据工程
• 商业生产力
• 应用开发
• 安全

定价

• 定价概览
• 定价计算器

开源

集成与数据

• 市场
• IDE 集成
• 合作伙伴连接

产品

Databricks 平台

• 平台概览
• 共享
• 治理
• 人工智能
• 商业智能
• 数据库
• 数据管理
• 数据仓库
• 数据工程
• 商业生产力
• 应用开发
• 安全

定价

• 定价概览
• 定价计算器

开源

集成与数据

• 市场
• IDE 集成
• 合作伙伴连接

解决方案

Databricks 行业方案

• 通信
• 金融服务
• 医疗与生命科学
• 制造
• 媒体与娱乐
• 公共部门
• 零售
• 查看全部

跨行业解决方案

• AI 代理
• AI 治理
• 网络安全
• 营销

数据迁移

专业服务

解决方案加速器

解决方案

Databricks 行业方案

• 通信
• 金融服务
• 医疗与生命科学
• 制造
• 媒体与娱乐
• 公共部门
• 零售
• 查看全部

跨行业解决方案

• AI 代理
• AI 治理
• 网络安全
• 营销

数据迁移

专业服务

解决方案加速器

资源

文档

客户支持

社区

学习

• 培训
• 认证
• 免费版
• 大学联盟
• Databricks 学院登录

活动

• 数据与 AI 峰会
• 数据与 AI 巡回
• AI 日
• 活动日历

博客与播客

• Databricks 博客
• AI 博客
• Data Brew 播客
• 数据与 AI 领航者播客

资源

文档

客户支持

社区

学习

• 培训
• 认证
• 免费版
• 大学联盟
• Databricks 学院登录

活动

• 数据与 AI 峰会
• 数据与 AI 巡回
• AI 日
• 活动日历

博客与播客

• Databricks 博客
• AI 博客
• Data Brew 播客
• 数据与 AI 领航者播客

关于

公司

• 关于我们
• 我们的团队
• Databricks 风险投资
• 联系我们

职业

• 职位空缺
• 加入 Databricks

媒体

• 奖项与认可
• 新闻室

安全与信任

关于

公司

• 关于我们
• 我们的团队
• Databricks 风险投资
• 联系我们

职业

• 职位空缺
• 加入 Databricks

媒体

• 奖项与认可
• 新闻室

安全与信任

Databricks Inc.

160 Spear Street, 15 楼

旧金山, CA 94105

1-866-330-0121

• [](https://www.linkedin.com/company/databricks)
• [](https://www.facebook.com/pages/Databricks/560203607379694)
• [](https://twitter.com/databricks)
• [](https://www.databricks.com/feed)
• [](https://www.glassdoor.com/Overview/Working-at-Databricks-EI_IE954734.11,21.htm)
• [](https://www.youtube.com/@Databricks)

查看职业

在 Databricks

• [](https://www.linkedin.com/company/databricks)
• [](https://www.facebook.com/pages/Databricks/560203607379694)
• [](https://twitter.com/databricks)
• [](https://www.databricks.com/feed)
• [](https://www.glassdoor.com/Overview/Working-at-Databricks-EI_IE954734.11,21.htm)
• [](https://www.youtube.com/@Databricks)

© Databricks 2026. 保留所有权利。Apache、Apache Spark、Spark、Spark 标志、Apache Iceberg、Iceberg 以及 Apache Iceberg 标志均为 Apache 软件基金会 的商标。

• 隐私声明
• |使用条款
• |现代奴隶制声明
• |加州隐私
• |您的隐私选择
• 

我们重视您的隐私

Databricks 使用 Cookie 和类似技术来提升网站导航、分析网站使用情况、个性化内容和广告，详情请参阅我们的 Cookie 声明。要禁用非必要 Cookie，请点击“拒绝全部”。您也可以通过点击“管理偏好设置”来管理 Cookie。

管理偏好设置

拒绝全部 接受全部

隐私偏好中心

已采纳退出偏好信号

隐私偏好中心

• ### 您的隐私
• ### 严格必要的 Cookie
• ### 性能 Cookie
• ### 功能 Cookie
• ### 定向 Cookie
• ### TOTHR

#### 您的隐私

当您访问任何网站时，网站可能会在您的浏览器上存储或检索信息，通常以 Cookie 的形式。这些信息可能与您、您的偏好或您的设备有关，主要用于使网站按预期运行。这些信息通常不会直接识别您的身份，但可以让您获得更个性化的网络体验。由于我们尊重您的隐私权，您可以选择不允许某些类型的 Cookie。点击不同的类别标题以了解更多信息并更改默认设置。但请注意，阻止某些类型的 Cookie 可能会影响您在网站上的体验以及我们能够提供的服务。

#### 销售、共享和定向广告的退出选择

根据您所在的位置，您可能有权退出个人信息的“销售”或“共享”，或退出以在线“定向广告”为目的处理您的个人信息。您可以通过在此处禁用可选 Cookie 来基于 Cookie 和类似标识符进行退出。如需基于其他标识符（例如您的电子邮件地址）进行退出，请在我们的 隐私请求中心 提交请求。

更多信息

#### 严格必要的 Cookie

始终处于活动状态

这些 Cookie 是网站运行所必需的，无法在我们的系统中关闭。它们支持基本的网站功能，例如设置您的隐私偏好、登录或填写表单。您可以在浏览器中设置阻止或提醒这些 Cookie，但网站的部分功能将无法正常工作。

#### 性能 Cookie

• [x] 性能 Cookie

这些 Cookie 可帮助我们统计访问量和流量来源，从而衡量和提升网站性能。它们帮助我们了解哪些页面最受欢迎、哪些页面访问量最少，以及用户在网站上的浏览路径。

#### 功能 Cookie

• [x] 功能 Cookie

这些 Cookie 使网站能够提供增强的功能和个性化体验。它们可能由我们或第三方提供商设置，这些提供商的服务已添加到我们的页面中。如果不允许这些 Cookie，部分或全部服务可能无法正常运行。

#### 定向 Cookie

• [x] 定向 Cookie

这些 Cookie 可能通过我们的网站由我们的广告合作伙伴设置。这些公司可能会利用这些 Cookie 构建您的兴趣档案，并在其他网站上向您展示相关广告。如果不允许这些 Cookie，您将看到较少的定向广告。

#### TOTHR

• [x] TOTHR

Cookie 列表

同意 合法利益 兴趣

• [x] 复选框标签 标签

• [x] 复选框标签 标签

• [x] 复选框标签 标签

清除

• - [x] 复选框标签 标签

应用 取消

确认我的选择

允许全部