Zabezpečení dat pomocí prostředků infrastruktury, výpočetních modulů a OneLake

Fabric nabízí vícevrstvý model zabezpečení, který poskytuje jednoduchost i flexibilitu při správě přístupu k datům. Zabezpečení lze nastavit pro celý pracovní prostor, pro jednotlivé položky nebo prostřednictvím podrobných oprávnění v jednotlivých modulech Infrastruktury.

Podrobná oprávnění modulu umožňují definovat jemně odstupňované řízení přístupu, jako je například zabezpečení na úrovni tabulky, sloupce a řádku. Tato podrobná oprávnění platí pro dotazy spuštěné v tomto modulu. Různé moduly podporují různé typy podrobného zabezpečení, což umožňuje, aby každý modul byl přizpůsoben speciálně pro své cílové uživatele.

Diagram znázorňující různé vrstvy zabezpečení v prostředcích infrastruktury, výpočetních modulech a OneLake

Zabezpečení dat v prostředcích infrastruktury

Prostředky infrastruktury řídí přístup k datům pomocí pracovních prostorů a položek. V pracovních prostorech se data zobrazují ve formě položek infrastruktury a uživatelé nemůžou zobrazit ani používat data v položkách, pokud jim neudělíte přístup k pracovnímu prostoru.

Oprávnění pracovního prostoru uděluje přístup ke všem položkám v pracovním prostoru. Oprávnění k položce infrastruktury naopak umožňují udělit přístup ke konkrétním položkám, jako jsou jezerny, sklady nebo sestavy. Správa s může určit, s jakou položkou infrastruktury může uživatel pracovat. Například omezení přístupu k datům prostřednictvím koncového bodu SQL Analytics a poskytnutí přístupu ke stejným datům přes Lakehouse nebo přímo přes rozhraní ONELake API.

Přečtěte si další informace o řízení přístupu k datům pomocí oprávnění k pracovnímu prostoru fabric a položek v zabezpečení v Microsoftu .

Zabezpečení dat specifických pro moduly

Mnoho modulů fabric umožňuje definovat jemně odstupňované řízení přístupu, jako je například zabezpečení na úrovni tabulky, sloupce a řádku. Některé výpočetní moduly v Prostředcích infrastruktury mají své vlastní modely zabezpečení. Fabric Warehouse například umožňuje uživatelům definovat přístup pomocí příkazů T-SQL. Zabezpečení specifické pro výpočetní prostředky se vždy vynucuje při přístupu k datům pomocí daného modulu. Zabezpečení výpočetního modulu nemusí platit pro uživatele v určitých rolích Fabric, když přistupují přímo k OneLake.

Další informace o zabezpečení podrobných dat specifických pro moduly:

Role přístupu k datům OneLake (Preview)

Role přístupu k datům OneLake (Preview) umožňují uživatelům vytvářet vlastní role v rámci jezera a udělit oprávnění ke čtení jenom určeným složkám při přístupu k OneLake. Pro každou roli OneLake můžou uživatelé přiřazovat uživatele, skupiny zabezpečení nebo udělovat automatické přiřazení na základě role pracovního prostoru.

Diagram znázorňující strukturu datového jezera, která se připojuje k samostatně zabezpečeným kontejnerům

Přečtěte si další informace o modelu řízení přístupu k datům OneLake a začínáme s přístupem k datům .

Zabezpečení zástupce

Klávesové zkratky v Microsoft Fabric umožňují zjednodušenou správu dat. Zabezpečení složky OneLake se vztahuje na zástupce OneLake na základě rolí definovaných v jezeře, kde jsou data uložena.

Další informace o aspektech zabezpečení klávesových zkratek najdete v tématu Model řízení přístupu OneLake. Další informace o klávesových zkratkách najdete tady..

Ověřování

OneLake používá k ověřování ID Microsoft Entra; Můžete ho použít k udělení oprávnění identitám uživatelů a instančním objektům. OneLake automaticky extrahuje identitu uživatele z nástrojů, které používají ověřování Microsoft Entra, a mapuje ji na oprávnění, která jste nastavili na portálu Fabric.

Poznámka:

Pokud chcete používat instanční objekty v tenantovi Fabric, musí správce tenanta povolit hlavní názvy služeb (SPN) pro celého tenanta nebo pro konkrétní skupiny zabezpečení. Další informace o povolení instančních objektů ve vývojářských Nastavení portálu Správa tenanta

Neaktivní uložená data

Neaktivní uložená data se ve výchozím nastavení šifrují pomocí klíče spravovaného Microsoftem. Klíče spravované Microsoftem se odpovídajícím způsobem obměňují. Data v OneLake se šifrují a dešifrují transparentně a jsou kompatibilní se standardem FIPS 140-2.

Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem se v současné době nepodporuje. Žádost o tuto funkci můžete odeslat na webu Microsoft Fabric Ideas.

Přenášená data

Data přenášená přes veřejný internet mezi služby Microsoft se vždy šifrují minimálně protokolem TLS 1.2. Prostředky infrastruktury vyjednávají protokol TLS 1.3, kdykoli je to možné. Provoz mezi služby Microsoft vždy směruje přes globální síť Microsoftu.

Příchozí komunikace OneLake také vynucuje protokol TLS 1.2 a vyjednává s protokolem TLS 1.3, kdykoli je to možné. Odchozí komunikace infrastruktury infrastruktury ve vlastnictví zákazníka preferuje zabezpečené protokoly, ale může se vrátit ke starším nezabezpečeným protokolům (včetně protokolu TLS 1.0), pokud novější protokoly nejsou podporované.

Prostředky infrastruktury v současné době nepodporují přístup privátního propojení k datům OneLake prostřednictvím jiných produktů než Fabric a Sparku.

Povolit aplikacím spuštěným mimo fabric přístup k datům přes OneLake

OneLake umožňuje omezit přístup k datům z aplikací spuštěných mimo prostředí Fabric. Správa najdete nastavení v Oddíl OneLake portálu Správa tenanta Když tento přepínač zapnete, budou mít uživatelé přístup k datům prostřednictvím všech zdrojů. Když přepínač vypnete, uživatelé nebudou mít přístup k datům prostřednictvím aplikací spuštěných mimo prostředí Fabric. Uživatelé můžou například přistupovat k datům prostřednictvím aplikací, jako je Azure Databricks, vlastních aplikací pomocí rozhraní API služby Azure Data Lake Storage (ADLS) nebo Průzkumníka souborů OneLake.