A OneLake biztonsági áttekintése
A OneLake egy hierarchikus adattó, például az Azure Data Lake Storage (ADLS) Gen2 vagy a Windows fájlrendszer. Ez a struktúra lehetővé teszi a biztonság beállítását a hierarchia különböző szintjein a hozzáférés szabályozásához. A hierarchia egyes szintjei különleges bánásmódban részesülnek, mivel azok korrelálnak a Fabric-fogalmakkal.
Munkaterület: az elemek létrehozására és kezelésére szolgáló együttműködési környezet.
Elem: képességek készlete, amely egyetlen összetevőbe van csomagolva. Az adatelem az elem olyan altípusa, amely lehetővé teszi az adatok tárolását a OneLake használatával.
Mappák: az elemeken belüli mappák, amelyek az adatok tárolására és kezelésére szolgálnak.
Az elemek mindig a munkaterületeken belül élnek, és a munkaterületek mindig közvetlenül a OneLake névtér alatt élnek. Ezt a struktúrát a következőképpen jelenítheti meg:
Munkaterület engedélyei
A munkaterület engedélyei lehetővé teszik a munkaterületen belüli összes elemhez való hozzáférés meghatározását. 4 különböző munkaterületi szerepkör van, amelyek mindegyike különböző típusú hozzáférést biztosít.
| Szerepkör | Hozzáadhat rendszergazdákat? | Felvehet tagokat? | Tud adatokat írni és elemeket létrehozni? | Képes olvasni az adatokat? |
|---|---|---|---|---|
| Rendszergazda | Igen | Igen | Igen | Igen |
| Tag | Nem | Igen | Igen | Igen |
| Közreműködő | Nem | Nem | Igen | Igen |
| Megtekintő | Nem | Nem | Nem | Igen |
Feljegyzés
A Warehouse-elemet olvasási-írási szerepkörökkel tekintheti meg, de csak SQL-lekérdezésekkel írhat a raktárakba.
A Fabric-munkaterületi szerepkörök felügyeletét leegyszerűsítheti, ha biztonsági csoportokhoz rendeli őket. Ez a módszer lehetővé teszi a hozzáférés szabályozását úgy, hogy tagokat vesz fel vagy távolít el a biztonsági csoportból.
Elemengedélyek
A megosztási funkcióval közvetlen hozzáférést adhat a felhasználóknak egy elemhez. A felhasználó csak ezt az elemet látja a munkaterületen, és nem tagja a munkaterületi szerepköröknek. Az elemengedélyek hozzáférést biztosítanak az adott elemhez való csatlakozáshoz, és hogy a felhasználó mely elemvégpontokat érheti el.
| Engedély | Látja az elem metaadatait? | Látja az adatokat az SQL-ben? | Látja az adatokat a OneLake-ben? |
|---|---|---|---|
| Olvasás | Igen | Nem | Nem |
| ReadData | Nem | Igen | Nem |
| ReadAll | Nem | Nem | Igen* |
*Nem alkalmazható azokra az elemekre, amelyeken engedélyezve van a OneLake adathozzáférési szerepköre (előzetes verzió). Ha az előnézet engedélyezve van, a ReadAll csak akkor ad hozzáférést, ha a DefaultReader szerepkör használatban van. Ha ezt a szerepkört szerkesztik vagy törlik, a hozzáférést a rendszer ehelyett attól függően adja meg, hogy a felhasználó milyen adathozzáférési szerepkörökhöz tartozik.
Az engedélyek konfigurálásának másik módja az elem Engedélyek kezelése lapja. Ezen a lapon egyéni elemengedélyeket adhat hozzá vagy távolíthat el felhasználók vagy csoportok számára. A pontos elérhető engedélyeket az elem típusa határozza meg.
Számítási engedélyek
Az adathozzáférés a Microsoft Fabric SQL számítási motorjának használatával is megadható. Az SQL-en keresztül biztosított hozzáférés csak az sql-en keresztül adatokat elérő felhasználókra vonatkozik, de ezzel a biztonsággal szelektívebb hozzáférést biztosíthat bizonyos felhasználók számára. Jelenlegi állapotában az SQL támogatja az adott táblákhoz és sémákhoz való hozzáférés korlátozását, valamint a sor- és oszlopszintű biztonságot.
Az SQL-en keresztül adatokat elérő felhasználók eltérő eredményeket láthatnak, mint az adatok közvetlenül a OneLake-ben való elérése az alkalmazott számítási engedélyektől függően. Ennek megakadályozása érdekében győződjön meg arról, hogy a felhasználó elemengedélyei úgy vannak konfigurálva, hogy csak az SQL Analytics-végponthoz (a ReadData használatával) vagy a OneLake-hez (a ReadAll vagy az adathozzáférési szerepkörök előzetes verziójának használatával) engedélyezze őket.
Az alábbi példában egy felhasználó csak olvasási hozzáférést kap egy tóházhoz az elemmegosztáson keresztül. A felhasználó select engedéllyel rendelkezik egy táblán az SQL Analytics-végponton keresztül. Amikor a felhasználó megpróbál adatokat olvasni a OneLake API-kon keresztül, a rendszer megtagadja a hozzáférést, mert nem rendelkezik megfelelő engedélyekkel. A felhasználó sikeresen beolvashatja az SQL SELECT utasításait.
OneLake-adathozzáférési szerepkörök (előzetes verzió)
A OneLake adathozzáférési szerepkörök egy új funkció, amellyel szerepköralapú hozzáférés-vezérlést (RBAC) alkalmazhat a OneLake-ben tárolt adatokra. Megadhatja azokat a biztonsági szerepköröket, amelyek olvasási hozzáférést biztosítanak egy Hálóelem adott mappáihoz, és hozzárendelheti őket felhasználókhoz vagy csoportokhoz. A hozzáférési engedélyek határozzák meg, hogy a felhasználók milyen mappákat látnak az adatok tónézetének elérésekor a lakehouse UX-eken, jegyzetfüzeteken vagy OneLake API-kon keresztül.
A rendszergazdai, tag- vagy közreműködői szerepkörökben lévő hálófelhasználók a OneLake-adathozzáférési szerepkörök létrehozásával kezdhetik meg a hozzáférést, hogy csak a lakehouse adott mappáihoz biztosítsanak hozzáférést. Ha hozzáférést szeretne biztosítani egy tóházban lévő adatokhoz, adjon hozzá felhasználókat egy adathozzáférési szerepkörhöz. Azok a felhasználók, amelyek nem tartoznak adatelérési szerepkörhöz, nem fognak látni adatokat az adott tóházban.
További információ az adatelérési szerepkörök létrehozásáról az adatelérési szerepkörök használatának első lépéseiben .
További információ a hozzáférési szerepkörök adathozzáférési vezérlési modelljének biztonsági modelljéről.
Billentyűparancsok biztonsága
A Microsoft Fabric billentyűparancsai lehetővé teszik az egyszerűbb adatkezelést, de érdemes figyelembe venni néhány biztonsági szempontot. A parancsikonok biztonságának kezelésével kapcsolatos információkért tekintse meg ezt a dokumentumot.
A OneLake-adathozzáférési szerepkörök (előzetes verzió) esetében a billentyűparancs típusától függően a parancsikonok speciális kezelést kapnak. A OneLake-parancsikonokhoz való hozzáférést mindig a parancsikon célhelyeként megadott hozzáférési szerepkörök vezérlik. Ez azt jelenti, hogy a LakehouseA és a LakehouseB közötti billentyűparancsok esetében a LakehouseB biztonsága érvénybe lép. A LakehouseA adathozzáférési szerepkörei nem tudják biztosítani vagy szerkeszteni a LakehouseB parancsikonjának biztonságát.
Az Amazon S3 vagy az ADLS Gen2 külső billentyűparancsai esetében a biztonság a lakehouse-ban lévő adathozzáférési szerepkörökön keresztül van konfigurálva. A LakehouseA-ról egy S3-gyűjtőre mutató parancsikonhoz konfigurálhatók adatelérési szerepkörök a LakehouseA-ban. Fontos megjegyezni, hogy csak a parancsikon gyökérszintje alkalmazhatja a biztonságot. A parancsikon almappáihoz való hozzáférés hozzárendelése szerepkör-létrehozási hibákat eredményez.
További információ az adathozzáférés-vezérlési modell billentyűparancsainak biztonsági modelljéről