Κοινή χρήση μέσω

Ασφαλή δεδομένα με Fabric, μηχανές υπολογιστικής λειτουργίας και OneLake

  • Άρθρο

Το Fabric προσφέρει ένα μοντέλο ασφαλείας πολλών επιπέδων που παρέχει τόσο απλότητα όσο και ευελιξία στη διαχείριση της πρόσβασης σε δεδομένα. Η ασφάλεια μπορεί να οριστεί για έναν ολόκληρο χώρο εργασίας, για μεμονωμένα στοιχεία ή μέσω λεπτομερών δικαιωμάτων σε κάθε μηχανισμό Fabric.

Τα δικαιώματα λεπτομερής μηχανής επιτρέπουν τον καθορισμό λεπτομερών ελέγχων πρόσβασης, όπως ο πίνακας, η στήλη και η ασφάλεια σε επίπεδο γραμμών. Αυτά τα λεπτομερή δικαιώματα ισχύουν για ερωτήματα που εκτελούνται σε αυτόν τον μηχανισμό. Οι διαφορετικοί κινητήρες υποστηρίζουν διαφορετικούς τύπους ασφάλειας σε επίπεδο λεπτομέρειας, επιτρέποντας σε κάθε μηχανή να προσαρμόζεται ειδικά για τους χρήστες προορισμού.

Διάγραμμα που εμφανίζει διαφορετικά επίπεδα ασφάλειας στο Fabric, τους μηχανισμούς υπολογιστικής λειτουργίας και το OneLake.

Ασφάλεια δεδομένων Fabric

Το Fabric ελέγχει την πρόσβαση σε δεδομένα χρησιμοποιώντας χώρους εργασίας και στοιχεία. Στους χώρους εργασίας, τα δεδομένα εμφανίζονται με τη μορφή Στοιχεία Fabric και οι χρήστες δεν μπορούν να προβάλλουν ή να χρησιμοποιούν δεδομένα στα Στοιχεία, εκτός εάν τους παραχωρήσετε πρόσβαση στον χώρο εργασίας.

Τα δικαιώματα χώρου εργασίας εκχωρούν πρόσβαση σε όλα τα στοιχεία εντός του χώρου εργασίας. Αντίθετα, τα δικαιώματα Fabric Item επιτρέπουν την εκχώρηση πρόσβασης σε συγκεκριμένα στοιχεία, όπως lakehouses, αποθήκες ή αναφορές. Διαχείριση μπορούν να προσδιορίσουν με ποιο στοιχείο Fabric μπορεί να αλληλεπιδράσει ο χρήστης. Για παράδειγμα, ο περιορισμός πρόσβασης σε δεδομένα μέσω του τελικού σημείου SQL ανάλυσης, ενώ παράλληλα παρέχει πρόσβαση στα ίδια δεδομένα μέσω Lakehouse ή μέσω του API OneLake απευθείας.

Μάθετε περισσότερα σχετικά με τον έλεγχο πρόσβασης δεδομένων χρησιμοποιώντας τα δικαιώματα Χώρος εργασίας Fabric και Στοιχείο στην Ασφάλεια στη Microsoft .

Ασφάλεια δεδομένων για συγκεκριμένη μηχανή

Πολλοί κινητήρες Fabric επιτρέπουν τον ορισμό λεπτοκιμώδους ελέγχου πρόσβασης, όπως πίνακα, στήλης και ασφάλειας σε επίπεδο γραμμών. Ορισμένες μηχανές υπολογιστικής λειτουργίας στο Fabric έχουν τα δικά τους μοντέλα ασφαλείας. Για παράδειγμα, η Αποθήκη Fabric επιτρέπει στους χρήστες να ορίζουν την πρόσβαση χρησιμοποιώντας προτάσεις T-SQL. Η ασφάλεια που αφορά συγκεκριμένους υπολογισμούς επιβάλλεται πάντα κατά την πρόσβαση σε δεδομένα με αυτόν τον μηχανισμό. Η ασφάλεια της μηχανής υπολογιστικής λειτουργίας μπορεί να μην ισχύει για χρήστες σε συγκεκριμένους ρόλους Fabric κατά την απευθείας πρόσβαση στο OneLake.

Μάθετε περισσότερα σχετικά με την ασφάλεια των λεπτομερών δεδομένων για τον μηχανισμό:

Ρόλοι πρόσβασης δεδομένων OneLake (Προεπισκόπηση)

Οι ρόλοι πρόσβασης δεδομένων OneLake (Προεπισκόπηση) επιτρέπουν στους χρήστες να δημιουργούν προσαρμοσμένους ρόλους μέσα σε μια λίμνη και να εκχωρούν δικαιώματα ανάγνωσης μόνο στους καθορισμένους φακέλους κατά την πρόσβαση στο OneLake. Για κάθε ρόλο OneLake, οι χρήστες μπορούν να αντιστοιχίσουν χρήστες, ομάδες ασφαλείας ή να εκχωρήσουν μια αυτόματη ανάθεση με βάση τον ρόλο χώρου εργασίας.

Διάγραμμα που εμφανίζει τη δομή μιας λίμνης δεδομένων που συνδέεται σε ξεχωριστά ασφαλή κοντέινερ.

Μάθετε περισσότερα σχετικά με τα OneLake Data Έλεγχος πρόσβασης Model και Get Started with Data Access .

Ασφάλεια συντόμευσης

Οι συντομεύσεις στο Microsoft Fabric επιτρέπουν απλοποιημένη διαχείριση δεδομένων. Η ασφάλεια φακέλου OneLake ισχύει για συντομεύσεις OneLake με βάση τους ρόλους που ορίζονται στο lakehouse όπου αποθηκεύονται τα δεδομένα.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια των συντομεύσεων, ανατρέξτε στο μοντέλο ελέγχου πρόσβασης OneLake. Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με τις συντομεύσεις εδώ..

Έλεγχος ταυτότητας

Το OneLake χρησιμοποιεί το αναγνωριστικό Microsoft Entra για τον έλεγχο ταυτότητας. Μπορείτε να το χρησιμοποιήσετε για να εκχωρήσετε δικαιώματα σε ταυτότητες χρηστών και οντότητες υπηρεσίας. Το OneLake εξάγει αυτόματα την ταυτότητα χρήστη από εργαλεία, τα οποία χρησιμοποιούν τον έλεγχο ταυτότητας Microsoft Entra και τα αντιστοιχίζει στα δικαιώματα που ορίζετε στην πύλη Fabric.

Σημείωμα

Για να χρησιμοποιήσει τις οντότητες υπηρεσίας σε έναν μισθωτή Fabric, ένας διαχειριστής μισθωτή πρέπει να ενεργοποιήσει τα κύρια ονόματα υπηρεσίας (SPN) για ολόκληρο τον μισθωτή ή συγκεκριμένες ομάδες ασφάλειας. Μάθετε περισσότερα σχετικά με την ενεργοποίηση των οντοτήτων υπηρεσίας στην Ρυθμίσεις για προγραμματιστές της πύλης Διαχείριση μισθωτή

Αδρανή δεδομένα

Τα δεδομένα που είναι αποθηκευμένα στο OneLake κρυπτογραφούνται σε κατάσταση αδράνειας από προεπιλογή με χρήση κλειδιού διαχειριζόμενου από τη Microsoft. Τα διαχειριζόμενα από τη Microsoft κλειδιά περιστρέφονται κατάλληλα. Τα δεδομένα στο OneLake κρυπτογραφούνται και αποκρυπτογραφούνται με διαφανή τρόπο και είναι συμβατά με FIPS 140-2.

Η κρυπτογράφηση σε αδράνεια με χρήση κλειδιού διαχειριζόμενου από τον πελάτη δεν υποστηρίζεται προς το παρόν. Μπορείτε να υποβάλετε αίτηση για αυτήν τη δυνατότητα στις Ιδέες Microsoft Fabric.

Δεδομένα σε διαμετακόμιση

Τα δεδομένα που μεταφέρονται μέσω του δημόσιου Internet μεταξύ Υπηρεσίες της Microsoft κρυπτογραφούνται πάντα με τουλάχιστον TLS 1.2. Το Fabric διαπραγματεύεται στο TLS 1.3 όποτε αυτό είναι εφικτό. Η κυκλοφορία μεταξύ Υπηρεσίες της Microsoft δρομολογεί πάντα μέσω του καθολικού δικτύου της Microsoft.

Η εισερχόμενη επικοινωνία OneLake επιβάλλει επίσης το TLS 1.2 και διαπραγματεύεται στο TLS 1.3, όποτε αυτό είναι εφικτό. Η εξερχόμενη επικοινωνία Fabric με την υποδομή που ανήκει στον πελάτη προτιμά τα ασφαλή πρωτόκολλα, αλλά μπορεί να επιστρέψει στα παλαιότερα, μη ασφαλή πρωτόκολλα (συμπεριλαμβανομένου του TLS 1.0) όταν δεν υποστηρίζονται νεότερα πρωτόκολλα.

Το Fabric δεν υποστηρίζει προς το παρόν πρόσβαση ιδιωτικής σύνδεσης σε δεδομένα OneLake μέσω προϊόντων που δεν είναι Fabric και Spark.

Να επιτρέπεται σε εφαρμογές που εκτελούνται εκτός του Fabric να αποκτούν πρόσβαση σε δεδομένα μέσω OneLake

Το OneLake σάς επιτρέπει να περιορίσετε την πρόσβαση σε δεδομένα από εφαρμογές που εκτελούνται εκτός των περιβαλλόντων Fabric. Διαχείριση μπορούν να βρουν τη ρύθμιση στην Ενότητα OneLake της πύλης Διαχείριση μισθωτή. Όταν ενεργοποιείτε αυτόν τον διακόπτη, οι χρήστες μπορούν να έχουν πρόσβαση σε δεδομένα μέσω όλων των προελεύσεων. Όταν απενεργοποιείτε την εναλλαγή, οι χρήστες δεν μπορούν να έχουν πρόσβαση σε δεδομένα μέσω εφαρμογών που εκτελούνται εκτός των περιβαλλόντων Fabric. Για παράδειγμα, οι χρήστες μπορούν να έχουν πρόσβαση σε δεδομένα μέσω εφαρμογών όπως το Azure Databricks, προσαρμοσμένων εφαρμογών που χρησιμοποιούν Azure Data Lake Υπηρεσία αποθήκευσης (ADLS) API ή εξερεύνηση αρχείων OneLake.

Σχετικό περιεχόμενο