Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
OneLake je hierarchické datové jezero, jako je Azure Data Lake Storage (ADLS) Gen2 nebo systém souborů Windows. Zabezpečení můžete nastavit na všech úrovních v datovém jezeře. Některé úrovně v hierarchii mají však výjimečné zacházení, protože korelují s koncepty struktury Fabric. Bezpečnostní opatření OneLake řídí veškerý přístup k datům OneLake, přičemž různá oprávnění se dědí z nadřazené položky nebo z oprávnění pracovního prostoru.
Pracovní prostor: prostředí pro spolupráci pro vytváření a správu položek.
Položka: sada schopností seskupené do jedné komponenty. Datová položka je podtyp položky, která umožňuje ukládání dat v ní pomocí OneLake.
Složky: složky v položce, které se používají k ukládání a správě dat.
Položky se vždy nacházejí v rámci pracovních prostorů a tyto prostory jsou vždy přímo umístěny pod jmenným prostorem OneLake. Tuto strukturu můžete vizualizovat následujícím způsobem:
Zabezpečení v OneLake
Tato část popisuje model zabezpečení na základě obecně dostupných funkcí OneLake.
Oprávnění pracovního prostoru
Oprávnění pracovního prostoru umožňují definovat přístup ke všem položkám v daném pracovním prostoru. Existují čtyři různé role pracovního prostoru, z nichž každá uděluje různé typy přístupu.
| Role | Lze přidat správce? | Může přidat členy? | Může zapisovat data a vytvářet položky? | Může číst data? |
|---|---|---|---|---|
| Administrátor | Ano | Ano | Ano | Ano |
| Člen | Ne | Ano | Ano | Ano |
| Přispěvatel | Ne | Ne | Ano | Ano |
| Prohlížeč | Ne | Ne | Ne | Ano |
Poznámka:
Položku Warehouse můžete zobrazit s rolemi pro čtení i zápis, ale pomocí dotazů SQL můžete zapisovat pouze do skladů.
Správu rolí pracovního prostoru Fabric můžete zjednodušit jejich přiřazením ke skupinám zabezpečení. Tato metoda umožňuje řídit přístup přidáním nebo odebráním členů ze skupiny zabezpečení.
Oprávnění k položce
Pomocí funkce sdílení můžete uživateli udělit přímý přístup k položce. Uživatel může tuto položku zobrazit jenom v pracovním prostoru a není členem žádné role pracovního prostoru. Oprávnění k položce udělují přístup pro připojení k této položce a ke kterým koncovým bodům položky má uživatel přístup.
| Povolení | Chcete zobrazit metadata položky? | Vidíte data v SQL? | Vidíte data v OneLake? |
|---|---|---|---|
| Čti / Čtěte | Ano | Ne | Ne |
| Čtení dat | Ne | Ano | Ne |
| Číst vše | Ne | Ne | Ano* |
*Nejde použít u položek s povolenými rolemi přístupu k datům OneLake (Preview). Pokud je povolená verze Preview, funkce ReadAll udělí přístup pouze v případě, že se používá role DefaultReader. Pokud je role DefaultReader upravena nebo odstraněna, přístup je udělen místo toho na základě rolí přístupu k datům, které je uživatel součástí.
Dalším způsobem konfigurace oprávnění je stránka Spravovat oprávnění položky. Na této stránce můžete přidat nebo odebrat oprávnění jednotlivých položek pro uživatele nebo skupiny. Typ položky určuje, která oprávnění jsou k dispozici.
Výpočetní oprávnění
Přístup k datům můžete udělit také prostřednictvím výpočetního modulu SQL v Microsoft Fabric. Přístup udělený prostřednictvím SQL se vztahuje jenom na uživatele, kteří přistupují k datům prostřednictvím SQL, ale toto zabezpečení můžete použít k poskytnutí selektivnějšího přístupu určitým uživatelům. V aktuálním stavu sql podporuje omezení přístupu ke konkrétním tabulkám a schématům a také zabezpečení na úrovni řádků a sloupců.
Uživatelé můžou při přístupu k datům prostřednictvím SQL zobrazit různé výsledky v porovnání s přístupem k datům přímo ve OneLake v závislosti na použitých výpočetních oprávněních. Pokud chcete této neshodě zabránit, ujistěte se, že jsou oprávnění k položce uživatele nakonfigurovaná tak, aby jim udělovala přístup pouze ke koncovému bodu analýzy SQL (pomocí ReadData) nebo OneLake (pomocí role ReadAll nebo přístupu k datům (Preview)).
V následujícím příkladu má uživatel přístup jen pro čtení k datovému úložišti typu lakehouse prostřednictvím sdílení položek. Uživateli se udělí oprávnění SELECT k tabulce prostřednictvím koncového bodu SQL Analytics. Když se tento uživatel pokusí číst data prostřednictvím rozhraní OneLake API, přístup byl odepřen, protože nemá dostatečná oprávnění. Uživatel může úspěšně číst příkazy SQL SELECT.
Zabezpečení OneLake (Ukázka)
Zabezpečení OneLake umožňuje uživatelům definovat granulární zabezpečení založené na rolích pro údaje uložené v OneLake a vynucovat toto zabezpečení konzistentně napříč všemi výpočetními jednotkami v Fabric.
Poznámka:
Zabezpečení OneLake je v současné době v omezené zkušební verzi. Pokud chcete požádat o připojení k verzi Preview a získat přístup k těmto funkcím, vyplňte formulář na https://aka.ms/onelakesecuritypreview.
Zabezpečení OneLake nahrazuje stávající funkci přístupu k datům OneLake (předběžná verze), která byla vydána v dubnu 2024.
Uživatelé služby Fabric v rolích správce, člena nebo přispěvatele mohou vytvářet role zabezpečení OneLake, aby uživatelům poskytli přístup k datům v rámci položky. Každá role má čtyři komponenty:
- Data: Tabulky nebo složky, ke kterým mají uživatelé přístup.
- Oprávnění: Oprávnění, která uživatelé mají k datům.
- Členové: Uživatelé, kteří jsou členy role.
- Omezení: Součásti dat, které jsou případně vyloučeny z přístupu na základě konkrétních rolí, jako jsou například určité řádky nebo sloupce.
Uživatelé, kteří nejsou součástí role, nevidí žádná data v daném datovém úložišti.
Přečtěte si další informace o vytváření rolí zabezpečení OneLake pro tabulky a složky, sloupce a řádky.
Role přístupu k datům OneLake (náhled)
Role přístupu k datům OneLake jsou funkce, která umožňuje použít řízení přístupu na základě role (RBAC) na vaše data uložená ve OneLake. Můžete definovat role zabezpečení, které udělují oprávnění ke čtení konkrétním složkám v rámci položky Infrastruktury a přiřazují je uživatelům nebo skupinám. Přístupová oprávnění určují, které složky uživatelé uvidí při přístupu k zobrazení dat v jezerním prostředí přes uživatelské rozhraní Lakehouse, poznámkové bloky nebo rozhraní OneLake API.
Uživatelé Fabricu v rolích správce, člena nebo přispěvatele můžou začít tím, že vytvoří role přístupu k datům OneLake, které udělují přístup pouze určitým složkám v lakehouse. Pokud chcete udělit přístup k datům v jezeře, přidejte uživatele do role přístupu k datům. Uživatelé, kteří nejsou součástí role přístupu k datům, neuvidí žádná data v daném jezeře.
Poznámka:
Pro přístup k datům zkratky potřebují uživatelé kromě přístupu prostřednictvím role přístupu k datům OneLake také oprávnění ReadAll v cílovém lakehouse.
Pokud používáte sémantické modely v Power BI nebo T-SQL k přístupu ke zkratkám, mějte na paměti, že identita volajícího uživatele není předána cílové cestě. Místo toho se předá identita vlastníka volající položky, což umožňuje volajícímu uživateli přístup.
Zjistěte více o vytváření rolí přístupu k datům v Začínáme s rolemi přístupu k datům.
Přečtěte si více o modelu zabezpečení pro přístupové role model řízení přístupu k datům.
Zabezpečení zkratek
Klávesové zkratky v Microsoft Fabric umožňují zjednodušenou správu dat. Zabezpečení složky OneLake se vztahuje na odkazy OneLake na základě rolí definovaných v lakehouse, kde jsou data uložena.
Další informace o aspektech zabezpečení zkratek naleznete v modelu řízení přístupu OneLake.
Informace o přístupu a podrobnostech o ověřování pro konkrétní zkratky najdete v tématu Klávesové zkratky OneLake> Typy zkratek.
Autentizace
OneLake používá k ověřování Microsoft Entra ID; můžete ho použít k udělení oprávnění uživatelským identitám a servisním principálům. OneLake automaticky extrahuje identitu uživatele z nástrojů, které používají ověřování Microsoft Entra, a mapuje ji na oprávnění, která jste nastavili na portálu Fabric.
Poznámka:
Pokud chcete používat principiály služby v tenantovi Fabric, musí správce tenanta povolit Názvy Principálů Služby (SPN) pro celého tenanta nebo pro konkrétní skupiny zabezpečení. Přečtěte si další informace o povolení servisních účtů v nastavení vývojáře portálu pro správu tenanta.
Protokoly auditu
Pokud chcete zobrazit protokoly auditu OneLake, postupujte podle pokynů v tématu Sledování aktivit uživatelů v Microsoft Fabric. Názvy operací OneLake odpovídají rozhraním API ADLS, jako jsou CreateFile nebo DeleteFile. Protokoly auditu OneLake nezahrnují požadavky na čtení ani požadavky provedené na OneLake prostřednictvím úloh Fabric.
Šifrování a sítě
Data v klidu
Data uložená v OneLake se ve výchozím nastavení šifrují při nečinnosti pomocí klíčů spravovaných Microsoftem. Klíče spravované Microsoftem se odpovídajícím způsobem obměňují. Data ve OneLake se šifrují a dešifrují transparentně a jsou kompatibilní se standardem FIPS 140-2.
Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se v současné době nepodporuje. Žádost o tuto funkci můžete odeslat na nápady Microsoft Fabric.
Data v transitu
Data přenášená přes veřejný internet mezi služby Microsoft se vždy šifrují minimálně protokolem TLS 1.2. Fabric používá protokol TLS 1.3, kdykoli je to možné. Provoz mezi službami Microsoftu je vždy směrován přes globální síť Microsoftu.
Příchozí komunikace OneLake také vynucuje protokol TLS 1.2 a vyjednává s protokolem TLS 1.3, kdykoli je to možné. Odchozí komunikace Fabricu s infrastrukturou ve vlastnictví zákazníka preferuje zabezpečené protokoly, ale může přejít na starší nezabezpečené protokoly (včetně TLS 1.0), pokud novější protokoly nejsou podporovány.
Privátní propojení
Chcete-li konfigurovat privátní propojení v systému Fabric, podívejte se na Nastavení a použití privátních propojení.
Povolit aplikacím spuštěným mimo fabric přístup k datům přes OneLake
Přístup k datům OneLake můžete povolit nebo omezit z aplikací mimo prostředí Fabric. Toto nastavení můžou správci najít v části OneLake v nastavení tenanta portálu pro správu.
Když toto nastavení zapnete, budou mít uživatelé přístup k datům ze všech zdrojů. Toto nastavení můžete například zapnout, pokud máte vlastní aplikace, které používají rozhraní API služby Azure Data Lake Storage (ADLS) nebo Průzkumníka souborů OneLake. Když toto nastavení vypnete, budou mít uživatelé stále přístup k datům z interních aplikací, jako je Spark, Data Engineering a Data Warehouse, ale nemůžou přistupovat k datům z aplikací spuštěných mimo prostředí Fabric.