Zabezpečení dat pomocí prostředků infrastruktury, výpočetních modulů a OneLake

Fabric nabízí vícevrstvý model zabezpečení pro správu přístupu k datům. Zabezpečení lze nastavit pro celý pracovní prostor, pro jednotlivé položky nebo prostřednictvím podrobných oprávnění v jednotlivých modulech Infrastruktury. OneLake má vlastní aspekty zabezpečení, které jsou popsané v tomto dokumentu.

Role přístupu k datům OneLake (Preview)

Role přístupu k datům OneLake (Preview) umožňují uživatelům vytvářet vlastní role v rámci jezera a udělit oprávnění ke čtení jenom určeným složkám při přístupu k OneLake. Pro každou roli OneLake můžou uživatelé přiřazovat uživatele, skupiny zabezpečení nebo udělovat automatické přiřazení na základě role pracovního prostoru.

Přečtěte si další informace o modelu řízení přístupu k datům OneLake a začínáme s přístupem k datům .

Zabezpečení zástupce

Klávesové zkratky v Microsoft Fabric umožňují zjednodušenou správu dat. Zabezpečení složky OneLake se vztahuje na zástupce OneLake na základě rolí definovaných v jezeře, kde jsou data uložena.

Další informace o aspektech zabezpečení klávesových zkratek najdete v tématu Model řízení přístupu OneLake. Další informace o klávesových zkratkách najdete tady..

Ověřování

OneLake používá k ověřování ID Microsoft Entra; Můžete ho použít k udělení oprávnění identitám uživatelů a instančním objektům. OneLake automaticky extrahuje identitu uživatele z nástrojů, které používají ověřování Microsoft Entra, a mapuje ji na oprávnění, která jste nastavili na portálu Fabric.

Poznámka:

Pokud chcete používat instanční objekty v tenantovi Fabric, musí správce tenanta povolit hlavní názvy služeb (SPN) pro celého tenanta nebo pro konkrétní skupiny zabezpečení. Další informace o povolení instančních objektů v nastavení pro vývojáře na portálu pro správu tenanta

Neaktivní uložená data

Neaktivní uložená data se ve výchozím nastavení šifrují pomocí klíče spravovaného Microsoftem. Klíče spravované Microsoftem se odpovídajícím způsobem obměňují. Data v OneLake se šifrují a dešifrují transparentně a jsou kompatibilní se standardem FIPS 140-2.

Šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem se v současné době nepodporuje. Žádost o tuto funkci můžete odeslat na webu Microsoft Fabric Ideas.

Přenášená data

Data přenášená přes veřejný internet mezi služby Microsoft se vždy šifrují minimálně protokolem TLS 1.2. Prostředky infrastruktury vyjednávají protokol TLS 1.3, kdykoli je to možné. Provoz mezi služby Microsoft vždy směruje přes globální síť Microsoftu.

Příchozí komunikace OneLake také vynucuje protokol TLS 1.2 a vyjednává s protokolem TLS 1.3, kdykoli je to možné. Odchozí komunikace infrastruktury infrastruktury ve vlastnictví zákazníka preferuje zabezpečené protokoly, ale může se vrátit ke starším nezabezpečeným protokolům (včetně protokolu TLS 1.0), pokud novější protokoly nejsou podporované.

Privátní propojení

Prostředky infrastruktury v současné době nepodporují přístup privátního propojení k datům OneLake prostřednictvím jiných produktů než Fabric a Apache Sparku.

Povolit aplikacím spuštěným mimo fabric přístup k datům přes OneLake

OneLake umožňuje omezit přístup k datům z aplikací spuštěných mimo prostředí Fabric. Správci můžou nastavení najít v části OneLake na portálu pro správu tenanta. Když tento přepínač zapnete, budou mít uživatelé přístup k datům prostřednictvím všech zdrojů. Když přepínač vypnete, uživatelé nebudou mít přístup k datům prostřednictvím aplikací spuštěných mimo prostředí Fabric. Uživatelé můžou například přistupovat k datům prostřednictvím aplikací pomocí rozhraní API služby Azure Data Lake Storage (ADLS) nebo Průzkumníka souborů OneLake.

Související obsah

• OneLake Data Access Control Model (Preview)
• Začínáme se službou OneLake Security (Preview)
• Průzkumník souborů OneLake
• Role pracovního prostoru
• Sdílení položek