Documentation
搜索文档
karat

+

K

API 参考 ↗
安全Concepts基于分类的访问控制

注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

基于分类的访问控制

基于分类的访问控制在 Foundry 上默认未启用。分类权限标记可能在不同机构之间有所不同,因此可以在不同的 Palantir 环境中进行不同的配置。配置分类权限标记需要 Palantir 的参与。

基于分类的访问控制(CBAC)是用于保护敏感政府信息的强制性控制措施。CBAC 标记,也称为分类权限标记,通过要求用户具备特定的分类权限标记来限制访问信息。

访问分类权限标记可能与 Palantir 平台之外的安全审查过程相关联。与一般强制性控制一样,分类权限标记可以与其他访问要求结合使用,例如 可选角色 和可能应用于资源的强制性权限标记

分类权限标记的关键特征

分类权限标记具有以下三个显著特征:

  • 层级结构: 分类权限标记的一个常见应用案例是限制对敏感信息的访问,其中信息的敏感性以层级方式定义。例如,您可能有一组用户只符合条件访问标记为秘密或以下的敏感数据。另一组用户可以符合条件访问标记为绝密或以下的敏感信息,其中可能包括秘密数据。
  • 分类权限标记中的析取元素: 非分类权限标记是合取的 - 用户需要具备应用于资源的所有权限标记才能访问。分类权限标记可以具有析取组件,属于分类权限标记析取组件中任一组的用户即可满足 CBAC 访问条件。这通常用于定义可释放性,例如在不同组织或国家之间共享。例如,来自 国家 A国家 B 的用户可以满足分类权限标记中的析取元素(见下文)。
  • 分类权限标记的普遍性: 使用 CBAC 强制性控制的环境要求所有项目都设置 项目分类。此外,所有数据集都需要有数据分类,这意味着原始数据集(即无输入的数据集)需要有文件分类

关键概念

分类权限标记

分类权限标记按类别配置。例如,一个类别可能定义数据类型,另一个类别可能描述该数据应如何传播(即共享)。

一个分类可以有多个分类权限标记。一个分类可以由来自不同类别的分类权限标记组成。Palantir 可以配置并在平台上强制执行有关有效分类权限标记组合的规则。

合取和析取分类权限标记类别

分类权限标记类别的一个定义特征是它们可以支持析取(OR)行为。当一个类别是合取(AND)时,用户必须具备来自该类别的所有分类权限标记才能访问机密数据。当一个类别是析取时,用户可以通过具备该类别中的任一标记来被授权访问已标记的机密数据。

整个分类的组件是合取结合的。这意味着如果一个分类包含来自多个类别的分类权限标记,用户必须满足每个分类权限标记类别中的所有组件才能访问数据。

考虑一个简单的配置,其中只有一个类别和两个分类权限标记。以下简单配置有两个用户:玛莎·华盛顿(mwashington)和约翰·亚当斯(jadams)。

classification-example

mwashington 用户属于 GBRCAN 分类权限标记组。用户 jadams 仅属于 GBR 组。RELEASE TO 类别是析取的,这意味着用户必须至少具备一个标记。在析取类别中,用户如果具备分类权限标记中的一个标记,即使数据同时标记有同一类别的其他标记也可以查看数据。这意味着标记为 GBRCAN 的数据可以由 mwashingtonjadams 查看,因为两位用户至少具备其中一个标记的访问权限。

前面的例子是一个孤立的单一类别。在实际操作中,一个分类权限标记可以包含多个类别的标记。

文件和数据分类

文件分类是用户必须满足的分类权限标记,以发现文件,此外还需满足项目最大分类和其他强制性权限标记等要求。

数据分类适用于某些类型的文件,如数据集。数据分类指的是用户必须满足的分类,以查看文件中的数据。用户必须满足数据分类才能查看文件中的数据,但这不影响他们发现数据集存在并查看其元数据(如名称、描述和模式)的能力。数据分类不能直接编辑;相反,数据分类通过以下方式组合形成:

  • 资源的文件分类(如果已设置)。
  • 所有上游 数据依赖项 的数据分类。

此图展示了数据分类继承和与文件分类交互的示例。它显示了数据分类如何自动派生并设置为上游原始数据集中的文件分类。它还显示了派生数据集的数据分类如何继承,并自动设置为所有输入数据分类值中的“最高”数据分类。

这意味着数据分类始终至少与文件分类和所有上游数据依赖项的数据分类一样严格。

文件、数据和项目分类在 Palantir 平台中与其他适用的访问要求一同传达。与自动继承的数据分类不同,文件分类可以在资源侧栏中编辑,如下所示。

这是一张平台截图,显示项目、文件和数据分类在资源侧栏中的显示位置。

一个没有输入上游数据集的非派生新数据集需要创建用户设置一个文件分类。

项目分类

项目分类也可以称为项目的最大分类。在使用分类权限标记的环境中,所有项目在创建时都必须设置项目分类。

项目分类管理两种行为:

  • 项目分类控制谁能够发现项目的存在并访问其中的资源。用户必须满足项目分类才能发现项目或访问其资源。
  • 分类更高的数据或文件不能在最大分类较低的项目中创建或移动。分类低于或等于项目最大分类的资源可以存在于项目中,但只有满足项目分类的用户才能看到。

如果较高的分类被添加为不同项目中上游数据集的文件分类,并继承为此项目内数据集的数据权限标记,则该数据权限标记将违反项目的最大分类。

  • 如果发生这种情况,数据将继续受到该较高分类的保护,但会显示警告,并且无法搭建数据集或项目中其下游的任何资源,直到解决该违规。
  • 可以通过修复上游数据集的分类、移除该上游数据集作为输入并重新搭建数据集,或更新项目的最大分类来解决违规。这与项目约束违规的行为相同。

这是一张平台截图,显示项目分类的显示位置。

项目分类不影响项目中数据集的数据分类。因此,项目分类不会沿数据依赖关系继承。如果在其他项目中存在派生的下游数据集,则仅继承数据分类。这与项目权限标记的行为不同,项目权限标记会继承到下游数据集。

此图显示项目分类不会沿数据依赖关系继承,因此其他项目中的派生下游数据集不会继承项目分类