Přehled zabezpečení OneLake
OneLake je hierarchické datové jezero, jako je Azure Data Lake Storage (ADLS) Gen2 nebo systém souborů Windows. Tato struktura umožňuje nastavit zabezpečení na různých úrovních hierarchie a řídit přístup. Některé úrovně v hierarchii mají zvláštní zacházení, protože korelují s koncepty prostředků infrastruktury.
Pracovní prostor: prostředí pro spolupráci pro vytváření a správu položek.
Položka: sada schopností seskupené do jedné komponenty. Datová položka je podtyp položky, která umožňuje ukládání dat v ní pomocí OneLake.
Složky: složky v položce, které se používají k ukládání a správě dat.
Položky vždy žijí v rámci pracovních prostorů a pracovních prostorů vždy přímo v oboru názvů OneLake. Tuto strukturu můžete vizualizovat následujícím způsobem:
Oprávnění pracovního prostoru
Oprávnění pracovního prostoru umožňují definovat přístup ke všem položkám v daném pracovním prostoru. Existují 4 různé role pracovního prostoru, z nichž každá uděluje různé typy přístupu.
Role | Můžou přidat správce? | Může přidat členy? | Může zapisovat data a vytvářet položky? | Může číst data? |
---|---|---|---|---|
Správa | Ano | Ano | Ano | Yes |
Člen | No | Ano | Ano | Yes |
Přispěvatel | No | No | Ano | Yes |
Prohlížející | No | No | No | Ano |
Poznámka:
Položku Warehouse můžete zobrazit s rolemi pro čtení i zápis, ale pomocí dotazů SQL můžete zapisovat pouze do skladů.
Správu rolí pracovního prostoru Fabric můžete zjednodušit jejich přiřazením ke skupinám zabezpečení. Tato metoda umožňuje řídit přístup přidáním nebo odebráním členů ze skupiny zabezpečení.
Oprávnění k položce
Pomocí funkce sdílení můžete uživateli udělit přímý přístup k položce. Uživatel může tuto položku zobrazit jenom v pracovním prostoru a není členem žádné role pracovního prostoru. Oprávnění k položce udělují přístup pro připojení k této položce a ke kterým koncovým bodům položky má uživatel přístup.
Oprávnění | Chcete zobrazit metadata položky? | Vidíte data v SQL? | Vidíte data ve OneLake? |
---|---|---|---|
Čteno | Yes | No | Ne |
ReadData | No | Ano | No |
ReadAll | No | Ne | Ano* |
*Nejde použít u položek s povolenými rolemi přístupu k datům OneLake (Preview). Pokud je verze Preview povolená, funkce ReadAll udělí přístup pouze v případě, že se používá role DefaultReader. Pokud je tato role upravena nebo odstraněna, je přístup udělen na základě rolí přístupu k datům, které je uživatel součástí.
Dalším způsobem konfigurace oprávnění je stránka Spravovat oprávnění položky. Na této stránce můžete přidat nebo odebrat oprávnění jednotlivých položek pro uživatele nebo skupiny. Přesná dostupná oprávnění jsou určena typem položky.
Výpočetní oprávnění
Přístup k datům je možné získat také prostřednictvím výpočetního modulu SQL v Microsoft Fabric. Přístup udělený prostřednictvím SQL se vztahuje jenom na uživatele, kteří přistupují k datům prostřednictvím SQL, ale toto zabezpečení můžete použít k poskytnutí selektivnějšího přístupu určitým uživatelům. V aktuálním stavu sql podporuje omezení přístupu ke konkrétním tabulkám a schématům a také zabezpečení na úrovni řádků a sloupců.
Uživatelé, kteří přistupují k datům prostřednictvím SQL, se můžou v závislosti na použitých výpočetních oprávněních zobrazit jiné výsledky než přístup k datům přímo v OneLake. Pokud tomu chcete zabránit, ujistěte se, že jsou oprávnění k položce uživatele nakonfigurovaná tak, aby jim udělovala přístup pouze ke koncovému bodu analýzy SQL (pomocí ReadData) nebo OneLake (pomocí role ReadAll nebo přístupu k datům ve verzi Preview).
V následujícím příkladu má uživatel přístup jen pro čtení k jezeru prostřednictvím sdílení položek. Uživateli se udělí oprávnění SELECT k tabulce prostřednictvím koncového bodu SQL Analytics. Když se tento uživatel pokusí číst data prostřednictvím rozhraní OneLake API, přístup byl odepřen, protože nemá dostatečná oprávnění. Uživatel může úspěšně číst příkazy SQL SELECT.
Role přístupu k datům OneLake (Preview)
Role přístupu k datům OneLake jsou novou funkcí, která umožňuje použít řízení přístupu na základě role (RBAC) na vaše data uložená ve OneLake. Můžete definovat role zabezpečení, které udělují oprávnění ke čtení konkrétním složkám v rámci položky Infrastruktury a přiřazují je uživatelům nebo skupinám. Přístupová oprávnění určují, které složky uživatelé uvidí při přístupu k zobrazení jezera dat prostřednictvím uživatelského rozhraní lakehouse, poznámkových bloků nebo rozhraní ONELake API.
Uživatelé prostředků infrastruktury v rolích správce, člena nebo přispěvatele můžou začít vytvořením rolí přístupu k datům OneLake, které udělují přístup pouze určitým složkám v jezeře. Pokud chcete udělit přístup k datům v jezeře, přidejte uživatele do role přístupu k datům. Uživatelé, kteří nejsou součástí role přístupu k datům, neuvidí v daném jezeře žádná data.
Přečtěte si další informace o vytváření rolí přístupu k datům v části Začínáme s rolemi přístupu k datům.
Přečtěte si další informace o modelu zabezpečení pro přístupové role Model řízení přístupu k datům.
Zabezpečení zástupce
Klávesové zkratky v Microsoft Fabric umožňují zjednodušenou správu dat, ale je potřeba vzít v úvahu některé aspekty zabezpečení. Informace o správě zabezpečení zástupce naleznete v tomto dokumentu.
V případě rolí přístupu k datům OneLake (Preview) obdrží zástupci zvláštní zacházení v závislosti na typu zástupce. Přístup ke zkratce OneLake je vždy řízen rolemi přístupu v cíli zástupce. To znamená, že pro zástupce z LakehouseA do LakehouseB se projeví zabezpečení LakehouseB. Role přístupu k datům v LakehouseA nemůžou udělovat nebo upravovat zabezpečení zástupce lakehouseB.
Pro externí zástupce AmazonU S3 nebo ADLS Gen2 se zabezpečení konfiguruje prostřednictvím rolí přístupu k datům v samotném jezeře. Zástupce z LakehouseA do kontejneru S3 může mít nakonfigurované role přístupu k datům v LakehouseA. Je důležité si uvědomit, že zabezpečení může mít použito pouze kořenová úroveň zástupce. Přiřazení přístupu k dílčím složkám zástupce způsobí chyby při vytváření rolí.
Další informace o modelu zabezpečení pro zástupce v modelu řízení přístupu k datům