Jaa

Suojatut tiedot Fabric-, Compute Engines- ja OneLake-moduulien avulla

  • Artikkeli

Fabric tarjoaa monikerroksisen suojausmallin, joka tarjoaa sekä yksinkertaista että joustavuutta tietojen käytön hallintaan. Suojaus voidaan määrittää koko työtilalle, yksittäisille kohteille tai kunkin Fabric-moduulin eriytetyillä käyttöoikeuksilla.

Eriytetyt moduulin käyttöoikeudet sallivat tarkan käytön hallinnan, kuten taulukon, sarakkeen ja rivitason suojauksen. Nämä eriytettyjä käyttöoikeuksia sovelletaan kyseisessä moduulissa suoritettaviin kyselyihin. Eri moottorit tukevat erityyppisiä askelvälin suojauksen tyyppejä, minkä ansiosta kukin moduuli voidaan räätälöidä erityisesti kohdekäyttäjille.

Kaavio, jossa näkyvät Fabric-, Compute Engines- ja OneLake-suojaustasot.

Fabric-tietosuoja

Fabric hallitsee tietojen käyttöä työtilojen ja kohteiden avulla. Työtiloissa tiedot näkyvät Fabric-kohteiden muodossa, eivätkä käyttäjät voi tarkastella tai käyttää Kohteet-kohdan tietoja, ellet anna heille käyttöoikeutta työtilaan.

Työtilan käyttöoikeudet myöntävät käyttöoikeuden kaikkiin työtilan kohteisiin. Fabric Item -käyttöoikeudet sen sijaan sallivat käyttöoikeuksien myöntämisen tietyille kohteille, kuten lakehouseille, varastoille tai raporteille. Hallinta voivat määrittää, minkä Fabric Item -kohteen kanssa käyttäjä voi toimia. Esimerkiksi tietojen käytön rajoittaminen Analytics SQL -päätepisteen kautta ja samojen tietojen käyttöoikeuden myöntäminen suoraan Lakehousen tai OneLake-ohjelmointirajapinnan kautta.

Lue lisää tietojen käytön hallinnasta Fabric-työtilan ja Microsoftin tietoturva-asetuksen kohdekäyttöoikeuksien avulla.

Moduulikohtainen tietosuoja

Monet Fabric-moottorit mahdollistavat tarkan käytön hallinnan, kuten taulukon, sarakkeen ja rivitason suojauksen. Joillakin Fabric-laskentamoottoreilla on omat suojausmallinsa. Esimerkiksi Fabric Warehousen avulla käyttäjät voivat määrittää käyttöoikeuden T-SQL-lausekkeiden avulla. Käsittelykohtainen suojaus on aina voimassa, kun käytät tietoja kyseisen moduulin avulla. Laskentamoduulin suojaus ei ehkä koske tiettyjen Fabric-roolien käyttäjiä, kun he käyttävät OneLakea suoraan.

Lue lisää moottorikohtaisesta vaiheittaisesta tietosuojasta:

OneLake-tietojen käyttöroolit (esikatselu)

OneLake-tietojen käyttöroolien (esikatselu) avulla käyttäjät voivat luoda mukautettuja rooleja Lakehousessa ja myöntää lukuoikeudet vain määritettyihin kansioihin, kun he käyttävät OneLakea. Käyttäjät voivat määrittää kullekin OneLake-roolille käyttäjiä, käyttöoikeusryhmiä tai myöntää automaattisen määrityksen työtilan roolin perusteella.

Kaavio, joka näyttää Data Lake -tallennustilan rakenteen, joka on yhteydessä erikseen suojattuihin säilöihin.

Lue lisää OneLake-tiedoista, Käyttöoikeuksien hallinta model ja Aloita tietojen käyttö.

Pikakuvakkeen suojaus

Microsoft Fabricin pikakuvakkeet mahdollistavat tietojen yksinkertaistetun hallinnan. OneLake-kansion suojaus koskee OneLake-pikakuvakkeita sen perusteella, mitä rooleja on määritetty lakehousessa, johon tiedot on tallennettu.

Lisätietoja pikakuvakkeiden suojaukseen huomioitavat asiat ovat ohjeartikkelissa OneLake-käyttöoikeuksien hallintamalli. Lisätietoja pikakuvakkeista löytyy täältä.

Todentaminen

OneLake käyttää Microsoft Entra -tunnusta todentamiseen; Sen avulla voit antaa käyttöoikeudet käyttäjätietojen ja palvelun päänimien käyttöön. OneLake poimii käyttäjätiedot automaattisesti työkaluista, jotka käyttävät Microsoft Entra -todennusta ja yhdistävät sen Fabric-portaalissa määrittämiesi käyttöoikeuksien mukaisesti.

Muistiinpano

Jos haluat käyttää palvelun päänimiä Fabric-vuokraajassa, vuokraajan järjestelmänvalvojan on otettava käyttöön palvelun päänimet (SPN) koko vuokraajalle tai tietyille käyttöoikeusryhmille. Lue lisätietoja palvelujen päänimien käyttöönotosta vuokraajan Hallinta -Asetukset

Levossa tallennustiedot

OneLakeen tallennetut tiedot salataan oletusarvoisesti levossa käyttämällä Microsoftin hallitsemaa avainta. Microsoftin hallitsemat avaimet kierrätetään asianmukaisesti. OneLaken tiedot salataan ja salaus puretaan läpinäkyvästi ja se on FIPS 140-2 -yhteensopiva.

Salausta levossa asiakkaan hallitseman avaimen avulla ei tueta tällä hetkellä. Voit lähettää tätä toimintoa koskevan pyynnön microsoft Fabric Ideas -sivustolle.

Tietoja siirretään

Tiedot, jotka kulkevat julkisessa Internetissä Microsoft-palvelut välillä, salataan aina vähintään TLS 1.2:lla. Fabric neuvottelee TLS 1.3:n kanssa aina kun se on mahdollista. Microsoft-palvelut välinen liikenne reitittää aina Microsoftin maailmanlaajuisen verkon kautta.

Saapuva OneLake-tietoliikenne myös pakottaa TLS 1.2:n ja neuvottelee TLS 1.3:een aina, kun se on mahdollista. Lähtevä Fabric-viestintä asiakkaan omistamaan infrastruktuuriin suosii suojattuja protokollia, mutta se saattaa palata vanhoihin turvattomaan protokolliin (mukaan lukien TLS 1.0), kun uudempia protokollia ei tueta.

Fabric ei tällä hetkellä tue yksityisen linkin käyttöä OneLake-tietoihin muiden kuin Fabric-tuotteiden ja Sparkin kautta.

Salli Fabricin ulkopuolella suoritettavien sovellusten käyttää tietoja OneLaken kautta

OneLaken avulla voit rajoittaa tietojen käyttöä Fabric-ympäristöjen ulkopuolella suoritettavista sovelluksista. Hallinta löydät asetuksen Vuokraaja Hallinta portaalin OneLake-osa. Kun otat tämän valitsimen käyttöön, käyttäjät voivat käyttää tietoja kaikkien lähteiden kautta. Kun poistat käytöstä poistamisen käytöstä, käyttäjät eivät voi käyttää tietoja Fabric-ympäristöjen ulkopuolella suoritettavien sovellusten kautta. Käyttäjät voivat esimerkiksi käyttää tietoja Azure Databricksin, mukautettujen sovellusten ja Azure Data Lake Tallennus (ADLS) -ohjelmointirajapintojen tai OneLake-tiedostonhallinnan kautta.

Liittyvä sisältö