Omówienie zabezpieczeń usługi OneLake
OneLake to hierarchiczny magazyn danych, taki jak usługa Azure Data Lake Storage (ADLS) Gen2 lub system plików systemu Windows. Ta struktura umożliwia ustawianie zabezpieczeń na różnych poziomach w hierarchii w celu zarządzania dostępem. Niektóre poziomy w hierarchii mają specjalne traktowanie, ponieważ są one skorelowane z pojęciami dotyczącymi sieci szkieletowej.
Obszar roboczy: środowisko współpracy do tworzenia elementów i zarządzania nimi.
Element: zestaw funkcji powiązanych ze sobą w jeden składnik. Element danych jest podtypem elementu, który umożliwia przechowywanie w nim danych przy użyciu usługi OneLake.
Foldery: foldery w elemencie używanym do przechowywania danych i zarządzania nimi.
Elementy zawsze działają w obszarach roboczych i obszarach roboczych zawsze działają bezpośrednio w przestrzeni nazw OneLake. Tę strukturę można wizualizować w następujący sposób:
Uprawnienia obszaru roboczego
Uprawnienia obszaru roboczego umożliwiają definiowanie dostępu do wszystkich elementów w tym obszarze roboczym. Istnieją 4 różne role obszaru roboczego, z których każdy przyznaje różne typy dostępu.
| Rola | Czy można dodać administratorów? | Czy można dodać członków? | Czy można zapisywać dane i tworzyć elementy? | Czy można odczytywać dane? |
|---|---|---|---|---|
| Administrator | Tak | Tak | Tak | Tak |
| Element członkowski | Nie. | Tak | Tak | Tak |
| Współautor | Nie | Nie. | Tak | Tak |
| Przeglądający | Nie | Nie. | Nie. | Tak |
Uwaga
Element Magazynu można wyświetlić z rolami odczytu i zapisu, ale można zapisywać w magazynach tylko przy użyciu zapytań SQL.
Zarządzanie rolami obszaru roboczego sieci szkieletowej można uprościć, przypisując je do grup zabezpieczeń. Ta metoda umożliwia kontrolowanie dostępu przez dodawanie lub usuwanie członków z grupy zabezpieczeń.
Uprawnienia do elementu
Funkcja udostępniania umożliwia użytkownikowi bezpośredni dostęp do elementu. Użytkownik może zobaczyć tylko ten element w obszarze roboczym i nie jest członkiem żadnych ról obszaru roboczego. Uprawnienia do elementu udzielają dostępu w celu nawiązania połączenia z tym elementem i punktów końcowych, do których użytkownik może uzyskać dostęp.
| Uprawnienie | Czy zobaczyć metadane elementu? | Zobacz dane w języku SQL? | Widzisz dane w usłudze OneLake? |
|---|---|---|---|
| Przeczytaj | Tak | Nie. | Nie. |
| ReadData | Nie. | Tak | Nie. |
| ReadAll | Nie | Nie. | Tak* |
*Nie dotyczy elementów z włączonymi rolami dostępu do danych usługi OneLake (wersja zapoznawcza). Jeśli wersja zapoznawcza jest włączona, funkcja ReadAll będzie udzielać dostępu tylko wtedy, gdy rola DefaultReader jest używana. Jeśli ta rola jest edytowana lub usuwana, dostęp jest udzielany zamiast tego na podstawie ról dostępu do danych, których częścią jest użytkownik.
Innym sposobem konfigurowania uprawnień jest strona Zarządzanie uprawnieniami elementu. Przy użyciu tej strony można dodawać lub usuwać uprawnienia poszczególnych elementów dla użytkowników lub grup. Dokładne dostępne uprawnienia są określane przez typ elementu.
Uprawnienia obliczeniowe
Dostęp do danych można również uzyskać za pośrednictwem aparatu obliczeniowego SQL w usłudze Microsoft Fabric. Dostęp udzielany za pośrednictwem usługi SQL dotyczy tylko użytkowników, którzy uzyskują dostęp do danych za pośrednictwem języka SQL, ale można użyć tych zabezpieczeń, aby zapewnić bardziej selektywny dostęp do niektórych użytkowników. W bieżącym stanie program SQL obsługuje ograniczanie dostępu do określonych tabel i schematów, a także zabezpieczeń na poziomie wierszy i kolumn.
Użytkownicy, którzy uzyskują dostęp do danych za pośrednictwem języka SQL, mogą widzieć inne wyniki niż uzyskiwanie dostępu do danych bezpośrednio w usłudze OneLake w zależności od zastosowanych uprawnień obliczeniowych. Aby temu zapobiec, upewnij się, że uprawnienia elementu użytkownika są skonfigurowane tak, aby przyznać im dostęp tylko do punktu końcowego SQL (przy użyciu funkcji ReadData) lub OneLake (przy użyciu funkcji ReadAll lub ról dostępu do danych w wersji zapoznawczej).
W poniższym przykładzie użytkownik ma dostęp tylko do odczytu do usługi Lakehouse za pośrednictwem udostępniania elementów. Użytkownik otrzymuje uprawnienie SELECT w tabeli za pośrednictwem punktu końcowego analizy SQL. Gdy ten użytkownik próbuje odczytać dane za pośrednictwem interfejsów API usługi OneLake, nie ma dostępu, ponieważ nie ma wystarczających uprawnień. Użytkownik może pomyślnie odczytać instrukcje SQL SELECT.
Role dostępu do danych usługi OneLake (wersja zapoznawcza)
Role dostępu do danych w usłudze OneLake to nowa funkcja, która umożliwia stosowanie kontroli dostępu opartej na rolach (RBAC) do danych przechowywanych w usłudze OneLake. Role zabezpieczeń, które udzielają dostępu do odczytu do określonych folderów w elemencie sieci szkieletowej, i przypisywać je do użytkowników lub grup. Uprawnienia dostępu określają, które foldery użytkownicy widzą podczas uzyskiwania dostępu do widoku lake danych za pośrednictwem środowiska użytkownika usługi Lakehouse, notesów lub interfejsów API usługi OneLake.
Użytkownicy sieci szkieletowej w rolach Administracja, Członek lub Współautor mogą rozpocząć pracę, tworząc role dostępu do danych usługi OneLake w celu udzielenia dostępu tylko do określonych folderów w usłudze Lakehouse. Aby udzielić dostępu do danych w usłudze Lakehouse, dodaj użytkowników do roli dostępu do danych. Użytkownicy, którzy nie są częścią roli dostępu do danych, nie będą widzieć żadnych danych w tym lakehouse.
Dowiedz się więcej o tworzeniu ról dostępu do danych w temacie Wprowadzenie do ról dostępu do danych.
Dowiedz się więcej o modelu zabezpieczeń dla ról dostępu Model kontroli dostępu do danych.
Zabezpieczenia skrótów
Skróty w usłudze Microsoft Fabric umożliwiają uproszczone zarządzanie danymi, ale należy pamiętać o niektórych zagadnieniach dotyczących zabezpieczeń. Aby uzyskać informacje na temat zarządzania zabezpieczeniami skrótów, zobacz ten dokument.
W przypadku ról dostępu do danych usługi OneLake (wersja zapoznawcza) skróty otrzymują specjalne traktowanie w zależności od typu skrótu. Dostęp do skrótu OneLake jest zawsze kontrolowany przez role dostępu w obiekcie docelowym skrótu. Oznacza to, że w przypadku skrótu od LakehouseA do LakehouseB bezpieczeństwo LakehouseB wchodzi w życie. Role dostępu do danych w usłudze LakehouseA nie mogą udzielać ani edytować zabezpieczeń skrótu do usługi LakehouseB.
W przypadku skrótów zewnętrznych do usług Amazon S3 lub ADLS Gen2 zabezpieczenia są konfigurowane za pośrednictwem ról dostępu do danych w samym lakehouse. Skrót z usługi LakehouseA do zasobnika S3 może mieć role dostępu do danych skonfigurowane w usłudze LakehouseA. Należy pamiętać, że tylko poziom główny skrótu może mieć zastosowane zabezpieczenia. Przypisanie dostępu do podfolderów skrótu spowoduje błędy tworzenia roli.
Dowiedz się więcej o modelu zabezpieczeń skrótów w modelu kontroli dostępu do danych
Powiązana zawartość
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla