Del via

Sikre data med stoff, databehandlingsmotorer og OneLake

  • Artikkel

Fabric tilbyr en flerlags sikkerhetsmodell som gir både enkelhet og fleksibilitet i administrasjon av datatilgang. Sikkerhet kan angis for et helt arbeidsområde, for individuelle elementer eller gjennom detaljerte tillatelser i hver Fabric-motor.

Granulære motortillatelser tillater at finjustert tilgangskontroll, for eksempel tabell, kolonne og sikkerhet på radnivå, kan defineres. Disse detaljerte tillatelsene gjelder for spørringer som kjøres mot denne motoren. Ulike motorer støtter ulike typer detaljert sikkerhet, slik at hver motor kan skreddersys spesielt for sine målbrukere.

Diagram som viser ulike lag med sikkerhet i Fabric, Compute Engines og OneLake.

Stoffdatasikkerhet

Fabric styrer datatilgang ved hjelp av arbeidsområder og elementer. I arbeidsområder vises data i form av stoffelementer, og brukere kan ikke vise eller bruke data i elementene med mindre du gir dem tilgang til arbeidsområdet.

Arbeidsområdetillatelser gir tilgang til alle elementer i arbeidsområdet. I motsetning til dette gir fabric item-tillatelser tilgang til bestemte elementer, for eksempel lakehouses, warehouses eller reports. Administratorer kan bestemme hvilket stoffelement brukeren kan samhandle med. Du kan for eksempel begrense tilgangen til data via Analytics SQL Endpoint, samtidig som du gir tilgang til de samme dataene via Lakehouse eller via OneLake API direkte.

Mer informasjon om å kontrollere datatilgang ved hjelp av fabric workspace- og elementtillatelser i Sikkerhet i Microsoft .

Motorspesifikk datasikkerhet

Mange stoffmotorer tillater finkornet tilgangskontroll, for eksempel tabell, kolonne og sikkerhet på radnivå, som skal defineres. Noen databehandlingsmotorer i Fabric har sine egne sikkerhetsmodeller. Fabric Warehouse lar for eksempel brukere definere tilgang ved hjelp av T-SQL-setninger. Databehandlingsspesifikk sikkerhet håndheves alltid når du får tilgang til data ved hjelp av denne motoren. Databehandlingsmotorsikkerheten gjelder kanskje ikke for brukere i bestemte Fabric-roller når de får direkte tilgang til OneLake.

Mer informasjon om motorspesifikk detaljert datasikkerhet:

OneLake-datatilgangsroller (forhåndsvisning)

OneLake-datatilgangsroller (forhåndsvisning) gjør det mulig for brukere å opprette egendefinerte roller i et lakehouse og gi lesetillatelser bare til de angitte mappene når de får tilgang til OneLake. For hver OneLake-rolle kan brukere tilordne brukere, sikkerhetsgrupper eller gi en automatisk tilordning basert på arbeidsområderollen.

Diagram som viser strukturen til en datainnsjø som kobler til separat sikrede beholdere.

Mer informasjon om OneLake Data Access Control Model og Kom i gang med datatilgang.

Snarveissikkerhet

Snarveier i Microsoft Fabric tillater forenklet databehandling. OneLake Folder-sikkerhet gjelder for OneLake-snarveier basert på roller som er definert i lakehouse der dataene er lagret.

Hvis du vil ha mer informasjon om sikkerhetshensyn for snarveier, kan du se OneLakes tilgangskontrollmodell. Du finner mer informasjon om snarveier her..

Autentisering

OneLake bruker Microsoft Entra ID for godkjenning. Du kan bruke den til å gi tillatelser til brukeridentiteter og tjenestekontohavere. OneLake trekker automatisk ut brukeridentiteten fra verktøy, som bruker Microsoft Entra-godkjenning og tilordner den til tillatelsene du angir i Fabric-portalen.

Merk

Hvis du vil bruke tjenestekontohavere i en Fabric-leier, må en leieradministrator aktivere tjenestehovednavn (SPN-er) for hele leieren eller bestemte sikkerhetsgrupper. Mer informasjon om aktivering av tjenestekontohavere i Utvikler Innstillinger for leieradministratorportal

Restdata

Data som er lagret i OneLake, krypteres som standard ved hjelp av Microsoft-administrert nøkkel. Microsoft-administrerte nøkler roterer på riktig måte. Data i OneLake krypteres og dekrypteres gjennomsiktig, og det er FIPS 140-2-kompatibelt.

Kryptering i ro ved hjelp av kundeadministrert nøkkel støttes for øyeblikket ikke. Du kan sende inn forespørsel om denne funksjonen på Microsoft Fabric Ideas.

Data under overføring

Data i transitt over det offentlige Internett mellom Microsoft-tjenester krypteres alltid med minst TLS 1.2. Fabric forhandler til TLS 1.3 når det er mulig. Trafikk mellom Microsoft-tjenester ruter alltid over det globale Microsoft-nettverket.

Innkommende OneLake-kommunikasjon håndhever også TLS 1.2 og forhandler til TLS 1.3, når det er mulig. Utgående Stoff-kommunikasjon til kundeeid infrastruktur foretrekker sikre protokoller, men kan falle tilbake til eldre, usikre protokoller (inkludert TLS 1.0) når nyere protokoller ikke støttes.

Fabric støtter for øyeblikket ikke privat koblingstilgang til OneLake-data via ikke-Fabric-produkter og Spark.

Tillat at apper som kjører utenfor Fabric, får tilgang til data via OneLake

Med OneLake kan du begrense tilgangen til data fra programmer som kjører utenfor Fabric-miljøer. Administratorer kan finne innstillingen i OneLake-delen av leieradministratorportalen. Når du aktiverer denne bryteren, kan brukere få tilgang til data via alle kilder. Når du slår av bryteren, får ikke brukere tilgang til data via programmer som kjører utenfor stoffmiljøer. Brukere kan for eksempel få tilgang til data via programmer som Azure Databricks, egendefinerte programmer ved hjelp av Azure Data Lake Storage (ADLS)-API-er eller OneLake-filutforsker.

Relatert innhold