Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
OneLake je hierarchické datové jezero, jako je Azure Data Lake Storage (ADLS) Gen2 nebo systém souborů Windows. Zabezpečení ve OneLake se vynucuje na řídicí rovině i v rovině dat:
- Oprávnění řídicí roviny: Umožňuje řídit akce, které můžou uživatelé provádět v rámci prostředí, jako je vytváření, správa nebo sdílení položek. Oprávnění řídicí roviny často poskytují oprávnění roviny dat ve výchozím nastavení.
- Oprávnění roviny dat: Řídí, k jakým datům mají uživatelé přístup nebo je mohou zobrazit, bez ohledu na jejich schopnost spravovat prostředky.
Zabezpečení můžete nastavit na každé úrovni v datovém jezeře. Některé úrovně v hierarchii ale dostávají zvláštní zacházení, protože korelují s koncepty Fabric. Zabezpečení OneLake řídí veškerý přístup k datům OneLake s oprávněními zděděnými z nadřazené položky nebo pracovního prostoru. Oprávnění můžete nastavit na následujících úrovních:
Pracovní prostor: Prostředí pro spolupráci pro vytváření a správu položek. Zabezpečení spravujete prostřednictvím rolí pracovního prostoru na této úrovni.
Položka: Sada funkcí seskupené do jedné komponenty. Datová položka je podtyp položky, která umožňuje ukládání dat v ní pomocí OneLake, jako je lakehouse, warehouse nebo databáze SQL. Položky dědí oprávnění z rolí pracovního prostoru, ale můžou mít i další oprávnění.
Složky: Složky v rámci položky slouží k ukládání a správě dat, jako jsou tabulky nebo soubory/.
Položky vždy existují v pracovních prostorech a pracovní prostory vždy existují přímo pod oborem názvů OneLake. Tuto strukturu můžete vizualizovat následujícím způsobem:
Oprávnění ve OneLake
Tato část popisuje, jak oprávnění ve OneLake spravují přístup na úrovni pracovního prostoru a položek.
Oprávnění pracovního prostoru
Oprávnění pracovního prostoru definují, jaké akce můžou uživatelé provádět v rámci pracovního prostoru a jejích položek. Tato oprávnění můžete spravovat na úrovni pracovního prostoru. Tato oprávnění jsou primárně oprávnění řídicí roviny. Určují možnosti správy a správy položek, nikoli přímý přístup k datům. Položky a složky ale obvykle dědí oprávnění pracovního prostoru k udělení přístupu k datům ve výchozím nastavení. Oprávnění pracovního prostoru definují přístup ke všem položkám v daném pracovním prostoru.
Čtyři různé role pracovního prostoru poskytují různé typy přístupu. Následující tabulka uvádí výchozí chování jednotlivých rolí pracovního prostoru:
| Role | Lze přidat správce? | Může přidat členy? | Může upravit zabezpečení OneLake? | Může zapisovat data a vytvářet položky? | Může číst data ve OneLake? | Je možné aktualizovat a odstranit pracovní prostor? |
|---|---|---|---|---|---|---|
| Administrátor | Ano | Ano | Ano | Ano | Ano | Ano |
| Člen | Ne | Ano | Ano | Ano | Ano | Ne |
| Přispěvatel | Ne | Ne | Ne | Ano | Ano | Ne |
| Prohlížeč | Ne | Ne | Ne | Ne | Ne* | Ne |
* Uživatelům můžete udělit přístup k datům pomocí rolí zabezpečení OneLake.
Přečtěte si další informace o rolích v pracovních prostorech v Microsoft Fabric.
Zjednodušte správu rolí pracovního prostoru Fabric tím, že je přiřadíte skupinám zabezpečení. Tato metoda umožňuje řídit přístup přidáním nebo odebráním členů ze skupiny zabezpečení.
Oprávnění k položce
Pomocí funkce sdílení můžete uživateli udělit přímý přístup k položce. Uživatel může tuto položku zobrazit jenom v pracovním prostoru a není členem žádné role pracovního prostoru. Oprávnění k položce udělují přístup pro připojení k této položce a ke všem jeho koncovým bodům, ke kterým má uživatel přístup.
| Povolení | Chcete zobrazit metadata položky? | Vidíte data v SQL? | Vidíte data v OneLake? |
|---|---|---|---|
| Čti / Čtěte | Ano | Ne | Ne |
| Čtení dat | Ne | Ano | Ne |
| Číst vše | Ne | Ne | Ano* |
* Nelze použít pro položky s povoleným zabezpečením OneLake . Pokud je povolené zabezpečení OneLake, readAll udělí přístup pouze v případě, že se používá role DefaultReader. Pokud je role DefaultReader upravena nebo odstraněna, přístup je udělen místo toho na základě rolí přístupu k datům, které je uživatel součástí.
Dalším způsobem konfigurace oprávnění je stránka Spravovat oprávnění položky. Na této stránce můžete přidat nebo odebrat oprávnění jednotlivých položek pro uživatele nebo skupiny. Typ položky určuje, která oprávnění jsou k dispozici.
Zabezpečení OneLake (Ukázka)
Zabezpečení OneLake umožňuje definovat podrobné zabezpečení na základě role pro data uložená v OneLake a vynutit toto zabezpečení konzistentně napříč všemi výpočetními stroji v rámci Fabric. Zabezpečení OneLake je model zabezpečení datové roviny pro data v systému OneLake.
Uživatelé platformy Fabric v rolích správce nebo člena můžou vytvořit role zabezpečení OneLake, které uživatelům udělí přístup k datům v dané položce. Každá role má čtyři komponenty:
- Data: Tabulky nebo složky, ke kterým mají uživatelé přístup.
- Oprávnění: Oprávnění, která uživatelé mají k datům.
- Členové: Uživatelé, kteří jsou členy role.
- Omezení: Součásti dat, které jsou případně vyloučeny z přístupu na základě konkrétních rolí, jako jsou například určité řádky nebo sloupce.
Bezpečnostní role OneLake udělují přístup k datům uživatelům v roli pracovního prostoru Prohlížeče nebo s oprávněním Číst k položce. Správci, členové a přispěvatelé nejsou ovlivněni rolemi zabezpečení OneLake a můžou číst a zapisovat všechna data v položce bez ohledu na jejich členství v rolích. Ve všech jezerech existuje role DefaultReader a poskytuje všem uživatelům s oprávněním ReadAll přístup k datům v jezeře. Roli DefaultReader můžete odstranit nebo upravit, abyste tento přístup odebrali.
Přečtěte si další informace o vytváření rolí zabezpečení OneLake pro tabulky a složky, sloupce a řádky.
Přečtěte si další informace o modelu řízení přístupu pro zabezpečení OneLake.
Autorizované motory a vynucování třetími stranami
Zabezpečení OneLake podporuje vynucení autorizovanými třetími stranami prostřednictvím schváleného modelu enginu. Externí dotazovací moduly se můžou registrovat jako autorizované moduly, načítat definice zásad zabezpečení a předem propočítat efektivní přístup prostřednictvím rozhraní API OneLake a vynucovat oprávnění tabulek, zabezpečení na úrovni řádků a CLS v době dotazu. OneLake zůstává jediným zdrojem pravdy pro zásady zabezpečení a zásady se vytváří jednou a vynucují se konzistentně napříč moduly Fabric a autorizovanými externími moduly.
Další informace najdete v tématu Přehled integrací zabezpečení OneLake.
Výpočetní oprávnění
Výpočetní oprávnění jsou typem oprávnění roviny dat, která se vztahují na konkrétní dotazovací modul v Microsoft Fabric. Udělený přístup se vztahuje pouze na dotazy spuštěné v daném konkrétním modulu, jako je koncový bod SQL nebo sémantický model Power BI. V závislosti na výpočetních oprávněních se uživatelům můžou při přístupu k datům prostřednictvím výpočetního modulu zobrazit různé výsledky v porovnání s přístupem k datům přímo ve OneLake.
Zabezpečení OneLake použijte k zabezpečení dat v OneLake místo výpočetních oprávnění. Zabezpečení OneLake zajišťuje konzistentní výsledky napříč moduly Fabric a všechny autorizované moduly třetích stran , které se integrují s rozhraními API zabezpečení OneLake.
Výpočetní moduly můžou mít pokročilejší funkce zabezpečení, které nejsou k dispozici v zabezpečení OneLake. V takovém případě můžou některé scénáře vyžadovat použití výpočetních oprávnění. Pokud k zabezpečení přístupu k datům používáte výpočetní oprávnění, ujistěte se, že koncovým uživatelům udělíte přístup pouze k výpočetnímu modulu, na kterém je nastavené zabezpečení. Tento osvědčený postup brání přístupu k datům prostřednictvím jiného modulu bez nezbytných funkcí zabezpečení.
Zabezpečení zkratek
Klávesové zkratky v Microsoft Fabric zjednodušují správu dat. Zabezpečení složky OneLake se vztahuje na odkazy OneLake na základě rolí definovaných v lakehouse, kde jsou data uložena.
Další informace o aspektech zabezpečení zástupců najdete v tématu model řízení přístupu k zabezpečení OneLake > Zástupci.
Informace o přístupových a ověřovacích podrobnostech pro konkrétní klávesové zkratky najdete v části Typy zkratek OneLake.
Autentizace
OneLake používá k ověřování ID Microsoft Entra. Slouží k udělení oprávnění uživatelským identitám a principálům služeb. OneLake automaticky extrahuje identitu uživatele z nástrojů, které používají ověřování Microsoft Entra, a mapuje ji na oprávnění, která jste nastavili na portálu Fabric.
Poznámka:
Pokud chcete používat principiály služby v tenantovi Fabric, musí správce tenanta povolit Názvy Principálů Služby (SPN) pro celého tenanta nebo pro konkrétní skupiny zabezpečení. Přečtěte si další informace o povolení servisních účtů v nastavení vývojáře portálu pro správu tenanta.
Protokoly auditu
Pokud chcete zobrazit protokoly auditu OneLake, postupujte podle pokynů v tématu Sledování aktivit uživatelů v Microsoft Fabric. Názvy operací OneLake odpovídají rozhraním API ADLS, jako jsou CreateFile nebo DeleteFile. Protokoly auditu OneLake nezahrnují požadavky na čtení ani požadavky provedené na OneLake prostřednictvím úloh Fabric.
Šifrování a sítě
Data v klidu
Data uložená v OneLake se ve výchozím nastavení šifrují v klidu pomocí klíčů spravovaných Microsoftem. Klíče spravované Microsoftem se odpovídajícím způsobem obměňují. OneLake šifruje a dešifruje data transparentně a je kompatibilní se standardem FIPS 140-2.
Šifrování neaktivních uložených dat můžete použít pomocí klíčů spravovaných zákazníkem a přidat další vrstvu ochrany pomocí klíčů, které vlastníte a řídíte. Další informace najdete v tématu Klíče spravované zákazníkem pro pracovní prostory Fabric.
Data v transitu
Data přenášená přes veřejný internet mezi službami Microsoftu se vždy šifrují pomocí protokolu TLS 1.2. Fabric používá protokol TLS 1.3, kdykoli je to možné. Provoz mezi službami Microsoftu je vždy směrován přes globální síť Microsoftu.
Příchozí komunikace OneLake také vynucuje protokol TLS 1.2 a vyjednává s protokolem TLS 1.3, kdykoli je to možné. Odchozí komunikace Fabricu s infrastrukturou ve vlastnictví zákazníka preferuje zabezpečené protokoly, ale může přejít na starší nezabezpečené protokoly (včetně TLS 1.0), pokud novější protokoly nejsou podporovány.
Privátní propojení
Chcete-li konfigurovat privátní propojení v systému Fabric, podívejte se na Nastavení a použití privátních propojení.
Povolit aplikacím spuštěným mimo fabric přístup k datům přes OneLake
Přístup k datům OneLake můžete povolit nebo omezit z aplikací mimo prostředí Fabric. Toto nastavení můžou správci najít v části OneLake v nastavení tenanta portálu pro správu.
Když toto nastavení zapnete, budou mít uživatelé přístup k datům ze všech zdrojů. Toto nastavení můžete například zapnout, pokud máte vlastní aplikace, které používají rozhraní API služby Azure Data Lake Storage (ADLS) nebo Průzkumníka souborů OneLake. Když toto nastavení vypnete, budou mít uživatelé stále přístup k datům z interních aplikací, jako je Spark, Data Engineering a Data Warehouse, ale nemůžou přistupovat k datům z aplikací spuštěných mimo prostředí Fabric.