Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto článku se podíváme na osvědčené postupy týkající se zabezpečení dat ve OneLake. Další informace o tom, jak implementovat zabezpečení pro konkrétní případy použití, najdete v průvodcích postupy.
Nejnižší možné oprávnění
Přístup s nejnižšími oprávněními je základním principem zabezpečení v oblasti počítačových věd, který doporučuje omezit oprávnění uživatelů a přístupová práva pouze na tato oprávnění potřebná k provádění jejich úkolů. U OneLake to znamená přiřazení oprávnění na odpovídající úrovni, aby se zajistilo, že uživatelé nebudou mít přiděleno příliš mnoho oprávnění a snížilo se riziko.
Pokud uživatelé potřebují přístup pouze k jedinému lakehouse nebo datové položce, použijte funkci sdílení k tomu, aby měli přístup pouze k této položce. Přiřazení uživatele k roli pracovního prostoru by se mělo použít jenom v případě, že tento uživatel potřebuje zobrazit všechny položky v tomto pracovním prostoru.
Zabezpečení OneLake slouží k omezení přístupu ke složkám a tabulkám v rámci jezera. U citlivých dat zajišťuje zabezpečení na úrovni řádků nebo sloupců OneLake, že chráněné řádky a sloupce zůstanou skryté.
Zabezpečení podle případu použití
Různí uživatelé potřebují mít schopnost provádět různé akce ve Fabric, aby mohli vykonávat své úkoly. V této části jsou identifikovány některé běžné případy použití spolu s potřebnými oprávněními v prostředcích Fabric a OneLake.
Správa přístupu k pracovnímu prostoru Vyžaduje se role správce nebo člena pracovního prostoru. Tyto role můžou také spravovat role zabezpečení OneLake u položky.
Vytváření nových položek v prostředcích infrastruktury Role správce, člena nebo přispěvatele můžou vytvářet nebo odstraňovat nové položky.
Zápis dat do OneLake Role Správce, Člen nebo Přispěvatel mohou zapisovat data do OneLake pomocí Sparku nebo nahráváním. Můžou také zapisovat data do skladu. Uživatelům s přístupem jen pro čtení ve skladu je možné udělit oprávnění k zápisu dat prostřednictvím oprávnění SQL.
Čtení dat z OneLake Uživatel musí být prohlížeč pracovního prostoru nebo musí mít oprávnění ke čtení a oprávnění ReadAll ke čtení dat z OneLake. U lakehouse s povolenou funkcí Zabezpečení OneLake (Preview) se přístup k datům řídí oprávněními role zabezpečení OneLake uživatele.
Přihlášení k odběru událostí OneLake Uživatel potřebuje oprávnění SubscribeOneLakeEvents, aby se mohl přihlásit k odběru událostí z položky Fabric. Role správce, člena a přispěvatele mají ve výchozím nastavení toto oprávnění. Toto oprávnění můžete přidat pro uživatele s rolí čtenáře.