Data 360 の保険契約の種類

ロールベースのアクセス制御

ロールベースのアクセス制御 (RBAC) では、ロールに基づいてユーザーに権限を割り当てることで、データアクセスを管理できます。

RBAC を使用して、データレイクオブジェクト (DLO)、データモデルオブジェクト (DMO)、計算済みインサイトオブジェクト (CIO) など、データスペース内の特定のデータオブジェクトへのアクセス権を権限セットで付与します。RBAC は個々のオブジェクトに割り当てられます。

属性ベースのアクセス制御

属性ベースのアクセス制御 (ABAC) は、属性の組み合わせに基づいてデータへのアクセスを許可または拒否するデータアクセス制御モデルです。これらの属性は、ユーザー、データ、または環境に属することができます。

• ユーザー属性: カスタム権限
• データ属性: タグ、機密レベル、所有者、分類

ABAC では、ポリシーは実行時に属性を評価する論理条件を使用します。パフォーマンスを維持するために、ABAC ポリシーの作成にはリソースの使用状況に基づく組み込みの制限が含まれます。各ポリシーの使用方法は、ルールの数とその条件の複雑さによって異なります。より複雑なポリシーでは、データアクセス時により多くのリソースが使用されます。ポリシーを作成、更新、または削除すると、Data 360 はこの使用状況を条件要素の最大しきい値と比較します。ほとんどのユーザーはこの制限に達しませんが、複雑なポリシーがパフォーマンスに影響するのを防ぐのに役立ちます。

タグと分類

ABAC では、タグと分類を意思決定属性として追加して、アクセスを許可するかどうかを決定できます。たとえば、オブジェクトまたは項目が「社外秘」としてタグ付けされている場合や、「PII」 (個人識別情報) として分類されている場合、これらのタグを参照するアクセスポリシーを作成できます。次に、サンプルポリシーを示します。

「データが社外秘として分類されている場合、コンプライアンスチームのユーザーにアクセス権を付与します。」または、「サポートチーム外のユーザーに対して PII としてタグ付けされたデータへのアクセスを拒否」します。

この方法でタグと分類を使用すると、データの機密性とユーザーの属性の両方に適応する動的なコンテキスト対応コントロールが可能になります。これにより、ポリシー管理が簡素化され、データエコシステム全体で一貫した適用が保証されます。