Zabezpečení dat pomocí prostředků infrastruktury, výpočetních modulů a OneLake
Fabric nabízí vícevrstvý model zabezpečení, který poskytuje jednoduchost i flexibilitu při správě přístupu k datům. Zabezpečení lze nastavit pro celý pracovní prostor, pro jednotlivé položky nebo prostřednictvím podrobných oprávnění v jednotlivých modulech Infrastruktury.
Podrobná oprávnění modulu umožňují definovat jemně odstupňované řízení přístupu, jako je například zabezpečení na úrovni tabulky, sloupce a řádku. Tato podrobná oprávnění platí pro dotazy spuštěné v tomto modulu. Různé moduly podporují různé typy podrobného zabezpečení, což umožňuje, aby každý modul byl přizpůsoben speciálně pro své cílové uživatele.
Zabezpečení dat v prostředcích infrastruktury
Prostředky infrastruktury řídí přístup k datům pomocí pracovních prostorů a položek. V pracovních prostorech se data zobrazují ve formě položek infrastruktury a uživatelé nemůžou zobrazit ani používat data v položkách, pokud jim neudělíte přístup k pracovnímu prostoru.
Oprávnění pracovního prostoru uděluje přístup ke všem položkám v pracovním prostoru. Oprávnění k položce infrastruktury naopak umožňují udělit přístup ke konkrétním položkám, jako jsou jezerny, sklady nebo sestavy. Správa s může určit, s jakou položkou infrastruktury může uživatel pracovat. Například omezení přístupu k datům prostřednictvím koncového bodu SQL Analytics a poskytnutí přístupu ke stejným datům přes Lakehouse nebo přímo přes rozhraní ONELake API.
Přečtěte si další informace o řízení přístupu k datům pomocí oprávnění k pracovnímu prostoru fabric a položek v zabezpečení v Microsoftu .
Zabezpečení dat specifických pro moduly
Mnoho modulů fabric umožňuje definovat jemně odstupňované řízení přístupu, jako je například zabezpečení na úrovni tabulky, sloupce a řádku. Některé výpočetní moduly v Prostředcích infrastruktury mají své vlastní modely zabezpečení. Fabric Warehouse například umožňuje uživatelům definovat přístup pomocí příkazů T-SQL. Zabezpečení specifické pro výpočetní prostředky se vždy vynucuje při přístupu k datům pomocí daného modulu. Zabezpečení výpočetního modulu nemusí platit pro uživatele v určitých rolích Fabric, když přistupují přímo k OneLake.
Další informace o zabezpečení podrobných dat specifických pro moduly:
- Zabezpečení datových skladů
- Zabezpečení Power BI
- Data Factory – Nastavení Připojení Lakehouse
- Zabezpečení na úrovni řádků v reálném čase
Role přístupu k datům OneLake (Preview)
Role přístupu k datům OneLake (Preview) umožňují uživatelům vytvářet vlastní role v rámci jezera a udělit oprávnění ke čtení jenom určeným složkám při přístupu k OneLake. Pro každou roli OneLake můžou uživatelé přiřazovat uživatele, skupiny zabezpečení nebo udělovat automatické přiřazení na základě role pracovního prostoru.
Přečtěte si další informace o modelu řízení přístupu k datům OneLake a začínáme s přístupem k datům .
Zabezpečení zástupce
Klávesové zkratky v Microsoft Fabric umožňují zjednodušenou správu dat. Zabezpečení složky OneLake se vztahuje na zástupce OneLake na základě rolí definovaných v jezeře, kde jsou data uložena.
Další informace o aspektech zabezpečení klávesových zkratek najdete v tématu Model řízení přístupu OneLake. Další informace o klávesových zkratkách najdete tady..
Ověřování
OneLake používá k ověřování ID Microsoft Entra; Můžete ho použít k udělení oprávnění identitám uživatelů a instančním objektům. OneLake automaticky extrahuje identitu uživatele z nástrojů, které používají ověřování Microsoft Entra, a mapuje ji na oprávnění, která jste nastavili na portálu Fabric.
Poznámka:
Pokud chcete používat instanční objekty v tenantovi Fabric, musí správce tenanta povolit hlavní názvy služeb (SPN) pro celého tenanta nebo pro konkrétní skupiny zabezpečení. Další informace o povolení instančních objektů ve vývojářských Nastavení portálu Správa tenanta
Neaktivní uložená data
Neaktivní uložená data se ve výchozím nastavení šifrují pomocí klíče spravovaného Microsoftem. Klíče spravované Microsoftem se odpovídajícím způsobem obměňují. Data v OneLake se šifrují a dešifrují transparentně a jsou kompatibilní se standardem FIPS 140-2.
Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem se v současné době nepodporuje. Žádost o tuto funkci můžete odeslat na webu Microsoft Fabric Ideas.
Přenášená data
Data přenášená přes veřejný internet mezi služby Microsoft se vždy šifrují minimálně protokolem TLS 1.2. Prostředky infrastruktury vyjednávají protokol TLS 1.3, kdykoli je to možné. Provoz mezi služby Microsoft vždy směruje přes globální síť Microsoftu.
Příchozí komunikace OneLake také vynucuje protokol TLS 1.2 a vyjednává s protokolem TLS 1.3, kdykoli je to možné. Odchozí komunikace infrastruktury infrastruktury ve vlastnictví zákazníka preferuje zabezpečené protokoly, ale může se vrátit ke starším nezabezpečeným protokolům (včetně protokolu TLS 1.0), pokud novější protokoly nejsou podporované.
Privátní propojení
Prostředky infrastruktury v současné době nepodporují přístup privátního propojení k datům OneLake prostřednictvím jiných produktů než Fabric a Sparku.
Povolit aplikacím spuštěným mimo fabric přístup k datům přes OneLake
OneLake umožňuje omezit přístup k datům z aplikací spuštěných mimo prostředí Fabric. Správa najdete nastavení v Oddíl OneLake portálu Správa tenanta Když tento přepínač zapnete, budou mít uživatelé přístup k datům prostřednictvím všech zdrojů. Když přepínač vypnete, uživatelé nebudou mít přístup k datům prostřednictvím aplikací spuštěných mimo prostředí Fabric. Uživatelé můžou například přistupovat k datům prostřednictvím aplikací, jako je Azure Databricks, vlastních aplikací pomocí rozhraní API služby Azure Data Lake Storage (ADLS) nebo Průzkumníka souborů OneLake.
Související obsah
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro