Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
OneLake je hierarchické datové jezero, jako je Azure Data Lake Storage (ADLS) Gen2 nebo systém souborů Windows. Zabezpečení ve OneLake se vynucuje na řídicí rovině i v rovině dat:
- Oprávnění řídicí roviny: Umožňuje řídit akce, které můžou uživatelé provádět v rámci prostředí, jako je vytváření, správa nebo sdílení položek. Oprávnění řídicí roviny často poskytují oprávnění roviny dat ve výchozím nastavení.
- Oprávnění roviny dat: Řídí, k jakým datům mají uživatelé přístup nebo je mohou zobrazit, bez ohledu na jejich schopnost spravovat prostředky. U OneLake se to týká zabezpečení OneLake.
Zabezpečení můžete nastavit na každé úrovni v datovém jezeře. Některé úrovně v hierarchii ale dostávají zvláštní zacházení, protože korelují s koncepty Fabric. Zabezpečení OneLake řídí veškerý přístup k datům OneLake s oprávněními zděděnými z nadřazené položky nebo pracovního prostoru. Oprávnění můžete nastavit na následujících úrovních:
Pracovní prostor: Prostředí pro spolupráci pro vytváření a správu položek. Zabezpečení spravujete prostřednictvím rolí pracovního prostoru na této úrovni.
Položka: Sada funkcí seskupené do jedné komponenty. Datová položka je podtyp položky, která umožňuje ukládání dat v ní pomocí OneLake, jako je lakehouse, warehouse nebo databáze SQL. Položky dědí oprávnění z rolí pracovního prostoru, ale můžou mít i další oprávnění.
Složky: Složky v rámci položky slouží k ukládání a správě dat, jako jsou tabulky nebo soubory/.
Položky vždy existují v pracovních prostorech a pracovní prostory vždy existují přímo pod oborem názvů OneLake. Tuto strukturu můžete vizualizovat následujícím způsobem:
Oprávnění ve OneLake
Tato část popisuje, jak oprávnění ve OneLake spravují přístup na úrovni pracovního prostoru a položek.
Oprávnění pracovního prostoru
Oprávnění pracovního prostoru definují, jaké akce můžou uživatelé provádět v rámci pracovního prostoru a jejích položek. Tato oprávnění můžete spravovat na úrovni pracovního prostoru. Tato oprávnění jsou primárně oprávnění řídicí roviny. Určují možnosti správy a správy položek, nikoli přímý přístup k datům. Položky a složky ale obvykle dědí oprávnění pracovního prostoru k udělení přístupu k datům ve výchozím nastavení. Oprávnění pracovního prostoru definují přístup ke všem položkám v daném pracovním prostoru.
Čtyři různé role pracovního prostoru poskytují různé typy přístupu. Následující tabulka uvádí výchozí chování jednotlivých rolí pracovního prostoru:
| Role | Lze přidat správce? | Může přidat členy? | Může upravit zabezpečení OneLake? | Může zapisovat data a vytvářet položky? | Může číst data ve OneLake? | Je možné aktualizovat a odstranit pracovní prostor? |
|---|---|---|---|---|---|---|
| Administrátor | Ano | Ano | Ano | Ano | Ano | Ano |
| Člen | Ne | Ano | Ano | Ano | Ano | Ne |
| Přispěvatel | Ne | Ne | Ne | Ano | Ano | Ne |
| Prohlížeč | Ne | Ne | Ne | Ne | Ne* | Ne |
* Uživatelům můžete udělit přístup k datům pomocí rolí zabezpečení OneLake.
Přečtěte si další informace o rolích v pracovních prostorech v Microsoft Fabric.
Zjednodušte správu rolí pracovního prostoru Fabric tím, že je přiřadíte skupinám zabezpečení. Tato metoda umožňuje řídit přístup přidáním nebo odebráním členů ze skupiny zabezpečení.
Oprávnění k položce
Pomocí funkce sdílení můžete uživateli udělit přímý přístup k položce. Uživatel může tuto položku zobrazit jenom v pracovním prostoru a není členem žádné role pracovního prostoru. Oprávnění k položce udělují přístup pro připojení k této položce a ke všem jeho koncovým bodům, ke kterým má uživatel přístup.
| Povolení | Chcete zobrazit metadata položky? | Vidíte data v SQL? | Vidíte data v OneLake? |
|---|---|---|---|
| Napsat | Ano | Ano | Ano |
| Čti / Čtěte | Ano | Ne | Ne |
| Čtení dat | Ne | Pouze v delegovaném režimu | Ne |
| Číst vše | Ne | Ne | Pouze prostřednictvím DefaultReader |
Dalším způsobem konfigurace oprávnění je stránka Spravovat oprávnění položky. Na této stránce můžete přidat nebo odebrat oprávnění jednotlivých položek pro uživatele nebo skupiny. Typ položky určuje, která oprávnění jsou k dispozici.
Zabezpečení OneLake
Zabezpečení OneLake umožňuje definovat podrobné zabezpečení na základě role pro data uložená v OneLake a vynutit toto zabezpečení konzistentně napříč všemi výpočetními stroji v rámci Fabric. Zabezpečení OneLake je model zabezpečení datové roviny pro data v systému OneLake.
Fabric uživatelé v rolích správce nebo člena pracovního prostoru můžou vytvářet role zabezpečení OneLake, které uživatelům umožní přístup k datům v rámci jedné položky. Každá role má čtyři komponenty:
- Data: Tabulky nebo složky, ke kterým mají uživatelé přístup.
- Oprávnění: Oprávnění, která uživatelé mají k datům.
- Členové: Uživatelé, kteří jsou členy role.
- Omezení: Součásti dat, které jsou případně vyloučeny z přístupu na základě konkrétních rolí, jako jsou například určité řádky nebo sloupce.
Bezpečnostní role OneLake udělují přístup k datům uživatelům v roli pracovního prostoru Prohlížeče nebo s oprávněním Číst k položce. Správci, členové a přispěvatelé pracovních prostorů nejsou ovlivněni rolemi zabezpečení OneLake a můžou číst a zapisovat všechna data v položce bez ohledu na jejich členství v rolích. Ve všech jezerech existuje role DefaultReader a poskytuje všem uživatelům s oprávněním ReadAll přístup k datům v jezeře. Roli DefaultReader můžete odstranit nebo upravit, abyste tento přístup odebrali.
Přečtěte si další informace o vytváření rolí zabezpečení OneLake pro tabulky a složky, sloupce a řádky.
Přečtěte si další informace o modelu řízení přístupu pro zabezpečení OneLake.
Autorizované motory a vynucování třetími stranami
Zabezpečení OneLake podporuje vynucení autorizovanými třetími stranami prostřednictvím schváleného modelu enginu. Externí dotazovací moduly se můžou registrovat jako autorizované moduly, načítat definice zásad zabezpečení a předem propočítat efektivní přístup prostřednictvím rozhraní API OneLake a vynucovat oprávnění tabulek, zabezpečení na úrovni řádků a CLS v době dotazu. OneLake zůstává jediným zdrojem pravdy pro zásady zabezpečení a zásady se vytváří jednou a vynucují se konzistentně napříč moduly Fabric a autorizovanými externími moduly.
Další informace najdete v tématu Přehled integrací zabezpečení OneLake.
Zabezpečení zkratek
Klávesové zkratky v Microsoft Fabric zjednodušují správu dat. Zabezpečení složky OneLake se vztahuje na odkazy OneLake na základě rolí definovaných v lakehouse, kde jsou data uložena.
Další informace o aspektech zabezpečení zástupců najdete v tématu model řízení přístupu k zabezpečení OneLake > Zástupci.
Informace o přístupových a ověřovacích podrobnostech pro konkrétní klávesové zkratky najdete v části Typy zkratek OneLake.
Autentizace
OneLake používá k ověřování ID Microsoft Entra. Slouží k udělení oprávnění uživatelským identitám a principálům služeb. OneLake automaticky extrahuje identitu uživatele z nástrojů, které používají ověřování Microsoft Entra, a mapuje ji na oprávnění, která jste nastavili na portálu Fabric.
Poznámka:
Pokud chcete používat principiály služby v tenantovi Fabric, musí správce tenanta povolit Názvy Principálů Služby (SPN) pro celého tenanta nebo pro konkrétní skupiny zabezpečení. Přečtěte si další informace o povolení servisních účtů v nastavení vývojáře portálu pro správu tenanta.
Protokoly auditu
Pokud chcete zobrazit protokoly auditu OneLake, postupujte podle pokynů v tématu Sledování aktivit uživatelů v Microsoft Fabric. Názvy operací OneLake odpovídají rozhraním API ADLS, jako jsou CreateFile nebo DeleteFile. Protokoly auditu OneLake nezahrnují požadavky na čtení ani požadavky provedené na OneLake prostřednictvím úloh Fabric.
Šifrování a sítě
Data v klidu
Data uložená v OneLake se ve výchozím nastavení šifrují v klidu pomocí klíčů spravovaných Microsoftem. Klíče spravované Microsoftem se odpovídajícím způsobem obměňují. OneLake šifruje a dešifruje data transparentně a je kompatibilní se standardem FIPS 140-2.
Šifrování neaktivních uložených dat můžete použít pomocí klíčů spravovaných zákazníkem a přidat další vrstvu ochrany pomocí klíčů, které vlastníte a řídíte. Další informace najdete v tématu Klíče spravované zákazníkem pro pracovní prostory Fabric.
Data v transitu
Data přenášená přes veřejný internet mezi službami Microsoftu se vždy šifrují pomocí protokolu TLS 1.2. Fabric používá protokol TLS 1.3, kdykoli je to možné. Provoz mezi službami Microsoftu je vždy směrován přes globální síť Microsoftu.
Příchozí komunikace OneLake také vynucuje protokol TLS 1.2 a vyjednává s protokolem TLS 1.3, kdykoli je to možné. Odchozí komunikace Fabricu s infrastrukturou ve vlastnictví zákazníka preferuje zabezpečené protokoly, ale může přejít na starší nezabezpečené protokoly (včetně TLS 1.0), pokud novější protokoly nejsou podporovány.
Privátní propojení
Chcete-li konfigurovat privátní propojení v systému Fabric, podívejte se na Nastavení a použití privátních propojení.
Povolit aplikacím spuštěným mimo fabric přístup k datům přes OneLake
Přístup k datům OneLake můžete povolit nebo omezit z aplikací mimo prostředí Fabric. Toto nastavení můžou správci najít v části OneLake v nastavení tenanta portálu pro správu.
Když toto nastavení zapnete, budou mít uživatelé přístup k datům ze všech zdrojů. Toto nastavení můžete například zapnout, pokud máte vlastní aplikace, které používají rozhraní API služby Azure Data Lake Storage (ADLS) nebo Průzkumníka souborů OneLake. Když toto nastavení vypnete, budou mít uživatelé stále přístup k datům z interních aplikací, jako je Spark, Data Engineering a Data Warehouse, ale nemůžou přistupovat k datům z aplikací spuštěných mimo prostředí Fabric.