Sécuriser les données avec Fabric, les moteurs de calcul et OneLake
Fabric offre un modèle de sécurité multicouche qui offre à la fois la simplicité et la flexibilité de la gestion de l’accès aux données. La sécurité peut être définie pour un espace de travail entier, pour des éléments individuels ou via des autorisations granulaires dans chaque moteur Fabric.
Les autorisations de moteur granulaires permettent de définir un contrôle d’accès précis, tel que la table, la colonne et la sécurité au niveau des lignes. Ces autorisations granulaires s’appliquent aux requêtes exécutées sur ce moteur. Différents moteurs prennent en charge différents types de sécurité granulaire, ce qui permet à chaque moteur d’être adapté spécifiquement à ses utilisateurs cibles.
Sécurité des données Fabric
Fabric contrôle l'accès aux données à l'aide d'espaces de travail et d'éléments. Dans les espaces de travail, les données apparaissent sous la forme d’éléments Fabric, et les utilisateurs ne peuvent pas afficher ou utiliser des éléments à moins que vous ne leur donniez accès à l'espace de travail.
Les autorisations relatives à l'espace de travail permettent d'accéder à tous les éléments de l'espace de travail. En revanche, les autorisations d’élément de structure autorisent l’accès à des éléments spécifiques, tels que des lakehouses, des entrepôts ou des rapports. Les administrateurs peuvent déterminer l’élément Fabric avec lequel l’utilisateur peut interagir. Par exemple, limiter l’accès aux données via le point de terminaison d’analytique SQL, tout en donnant accès aux mêmes données via Lakehouse ou via l’API OneLake directement.
En savoir plus sur le contrôle de l’accès aux données à l’aide des autorisations d’espace de travail et d’élément Fabric dans Security dans Microsoft .
Sécurité des données propres au moteur
De nombreux moteurs Fabric permettent de définir un contrôle d’accès précis, tel que la table, la colonne et la sécurité au niveau des lignes. Certains moteurs de calcul dans Fabric ont leurs propres modèles de sécurité. Par exemple, Fabric Warehouse permet aux utilisateurs de définir l’accès à l’aide d’instructions T-SQL. La sécurité spécifique au calcul est toujours appliquée lorsque vous accédez aux données à l’aide de ce moteur. La sécurité du moteur de calcul peut ne pas s’appliquer aux utilisateurs dans certains rôles Fabric lorsqu’ils accèdent directement à OneLake.
En savoir plus sur la sécurité des données granulaires propres au moteur :
- Sécurité de l'entrepôt de données
- Sécurité dans Power BI
- Data Factory - Configurer votre connexion Lakehouse
- Sécurité au niveau des lignes de l’expérience Informations en temps réel
Rôles d’accès aux données OneLake (préversion)
Les rôles d’accès aux données OneLake (préversion) permettent aux utilisateurs de créer des rôles personnalisés dans un lakehouse et d’accorder des autorisations d'accès en lecture uniquement aux dossiers spécifiés lors de l’accès à OneLake. Pour chaque rôle OneLake, les utilisateurs peuvent attribuer des utilisateurs, des groupes de sécurité ou accorder une attribution automatique en fonction du rôle d’espace de travail.
En savoir plus sur le modèle de contrôle d’accès aux données OneLake et bien démarrer avec l’accès aux données .
Sécurité des raccourcis
Les raccourcis dans Microsoft Fabric permettent une gestion des données simplifiée. La sécurité du dossier OneLake s’applique aux raccourcis OneLake en fonction des rôles définis dans le lakehouse où les données sont stockées.
Pour plus d’informations sur les considérations de sécurité des raccourcis, consultez le modèle de contrôle d’accès OneLake. Des informations supplémentaires sur les raccourcis sont disponibles ici..
Authentification
OneLake utilise Microsoft Entra ID pour l’authentification. Vous pouvez l’utiliser pour accorder des autorisations aux identités d’utilisateur et aux principaux de service. OneLake extrait automatiquement l’identité utilisateur des outils qui utilisent l’authentification Microsoft Entra et la mappe aux autorisations que vous avez définies dans le portail Fabric.
Remarque
Pour utiliser des principaux de service dans un locataire Fabric, un administrateur client doit activer les noms de principaux de service (SPN) pour l’ensemble du locataire ou des groupes de sécurité spécifiques. En savoir plus sur l’activation des principaux de service dans le Paramètres développeur du portail administrateur du locataire
Données au Repos
Les données stockées dans OneLake sont chiffrées au repos par défaut à l’aide de la clé gérée par Microsoft. Les clés gérées par Microsoft font l'objet d'une rotation appropriée. Les données dans OneLake sont chiffrées et déchiffrées de manière transparente et sont conformes à la norme FIPS 140-2.
Le chiffrement au repos à l’aide de la clé gérée par le client n’est actuellement pas pris en charge. Vous pouvez envoyer une demande de cette fonctionnalité sur Microsoft Fabric Ideas.
Données en transit
Les données en transit sur l’Internet public entre les services Microsoft sont toujours chiffrées avec au moins TLS 1.2. Fabric négocie vers TLS 1.3 dans la mesure du possible. Le trafic entre les services Microsoft achemine toujours sur le réseau global Microsoft.
La communication OneLake entrante applique également TLS 1.2 et négocie vers TLS 1.3, dans la mesure du possible. La communication Fabric sortante vers l’infrastructure détenue par le client préfère les protocoles sécurisés, mais peut revenir aux protocoles plus anciens et non sécurisés (y compris TLS 1.0) quand les protocoles plus récents ne sont pas pris en charge.
Liaisons privées
Fabric ne prend pas actuellement en charge l’accès de liaison privée aux données OneLake via des produits non Fabric et Spark.
Autoriser les applications s’exécutant en dehors de Fabric à accéder aux données via OneLake
OneLake vous permet de restreindre l’accès aux données des applications exécutées en dehors des environnements Fabric. Les administrateurs peuvent trouver le paramètre dans la section OneLake du portail administrateur du locataire. Quand vous activez ce paramètre, les utilisateurs peuvent accéder aux données par le biais de toutes les sources. Quand vous désactivez le paramètre, les utilisateurs ne peuvent pas accéder aux données par le biais d’applications exécutées en dehors des environnements Fabric. Par exemple, les utilisateurs peuvent accéder aux données par le biais d’applications telles qu’Azure Databricks, d’applications personnalisées à l’aide d’API Azure Data Lake Storage (ADLS) ou de l’explorateur de fichiers OneLake.
Contenu connexe
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour