Jak zabezpečit lakehouse pro týmy datových věd
Úvod
V tomto článku vám poskytneme přehled o tom, jak nakonfigurovat zabezpečení pro lakehouse v Prostředcích infrastruktury pro použití s týmy datových věd a úlohami.
Funkce zabezpečení
Microsoft Fabric používá vícevrstvý model zabezpečení s různými ovládacími prvky dostupnými na různých úrovních, aby poskytoval pouze minimální potřebná oprávnění. Další informace o různých funkcích zabezpečení dostupných v prostředcích infrastruktury najdete v tomto dokumentu.
Zabezpečení podle případu použití
Zabezpečení v Microsoft Fabric je optimalizované z hlediska zabezpečení dat pro konkrétní případy použití. Případ použití je sada uživatelů, kteří potřebují konkrétní přístup a přístup k datům prostřednictvím daného modulu. V případě scénářů datových věd jsou příklady případů použití:
- Zapisovače Apache Sparku: Uživatelé, kteří potřebují zapisovat data do lakehouse pomocí poznámkových bloků Apache Spark.
- Čtenáři Apache Sparku: Uživatelé, kteří potřebují číst data pomocí poznámkových bloků Apache Spark.
- Čtenáři kanálu: Uživatelé, kteří potřebují číst data z lakehouse pomocí kanálů.
- Tvůrci zástupců: Uživatelé, kteří potřebují vytvářet zástupce dat v jezeře.
Každý případ použití pak můžeme sladit s potřebnými oprávněními v prostředcích infrastruktury.
Oprávnění k zápisu
Pro uživatele, kteří potřebují zapisovat data v prostředcích infrastruktury, se přístup řídí prostřednictvím rolí pracovního prostoru Fabric. Existují tři role pracovního prostoru, které udělují oprávnění k zápisu: správce, člen a přispěvatel. Zvolte požadovanou roli a udělte uživatelům přístup.
Uživatelé s přístupem k zápisu nejsou omezeni rolemi přístupu k datům OneLake (Preview). Uživatelé zápisu můžou mít omezený přístup k datům prostřednictvím dat koncového bodu SQL Analytics, ale zachovat úplný přístup k datům ve OneLake. Pokud chcete omezit přístup k datům pro uživatele zápisu, je potřeba pro tato data vytvořit samostatný pracovní prostor.
Oprávnění ke čtení
Pro uživatele, kteří potřebují číst data pomocí kanálů nebo poznámkových bloků Apache Sparku, se oprávnění řídí oprávněními k položce infrastruktury společně s rolemi přístupu k datům OneLake (Preview). Oprávnění k položce infrastruktury určují, které položky může uživatel zobrazit a jak má k této položce přístup. Role přístupu k datům OneLake určují, k jakým datům má uživatel přístup prostřednictvím prostředí, která se připojují k OneLake. U lakehouses bez povolených rolí přístupu k datům OneLake ve verzi Preview se místo toho přístup řídí oprávněním k položce ReadAll a přístup k datům OneLake se uděluje pro celý objekt lakehouse.
Aby uživatel mohl číst data, potřebuje nejprve přístup k jezeru, kde se tato data nacházejí. Udělení přístupu k objektu lakehouse můžete provést tak , že na stránce pracovního prostoru nebo v uživatelském rozhraní lakehouse vyberete tlačítko Sdílet . Zadejte e-mailové adresy nebo skupinu zabezpečení pro tyto uživatele a vyberte Sdílet. (Pole Další oprávnění nechte nezaškrtnutá. U lakehouses bez povolených rolí přístupu k datům OneLake ve verzi Preview zaškrtněte políčko Číst všechna data OneLake (ReadAll).
Pak přejděte do jezera a vyberte tlačítko Spravovat přístup k datům OneLake (Preview). Pomocí těchto možností můžete vytvořit role, které uživatelům udělují přístup k zobrazení a čtení z konkrétních složek v jezeře. Přístup ke složkám je ve výchozím nastavení zakázán. Uživatelům přidaným do role se udělí přístup ke složkám, na které se tato role vztahuje. Další informace najdete v tématu Role přístupu k datům OneLake (Preview). Podle potřeby vytvořte role, abyste uživatelům udělili přístup ke čtení složek prostřednictvím kanálů, zástupců nebo poznámkových bloků Spark.
Důležité
Všechny lakehouse používající role přístupu k datům OneLake ve verzi Preview mají roli DefaultReader, která uděluje přístup k datům lakehouse. Pokud má uživatel oprávnění ReadAll, nebude omezen jinými rolemi přístupu k datům. Ujistěte se, že všichni uživatelé, kteří jsou součástí role přístupu k datům, nejsou také součástí role DefaultReader nebo odebrat roli DefaultReader.
Použití s klávesovými zkratkami
Klávesové zkratky jsou funkce OneLake, která umožňuje odkazovat na data z jednoho umístění bez fyzického kopírování dat. Další informace o klávesových zkratkách najdete v tomto dokumentu .
Data pro použití s klávesovými zkratkami můžete zabezpečit stejně jako jakoukoli jinou složku ve OneLake. Po nakonfigurování rolí přístupu k datům budou moct uživatelé z jiných jezer vytvořit pouze zástupce pro složky, ke kterým mají přístup. Dá se použít k tomu, aby uživatelé v jiných pracovních prostorech měli přístup jenom k vybraným datům v jezeře.
Důležité
Koncový bod SQL Analytics používá pro přístup ke zkratkám pevnou identitu. Když se uživatel dotazuje na tabulku zástupců prostřednictvím koncového bodu SQL Analytics, zkontroluje se identita vlastníka lakehouse pro přístup ke zkratce. To znamená, že při vytváření zástupců pro použití s dotazy SQL musí být tvůrce lakehouse také součástí všech rolí přístupu k datům OneLake, které omezují přístup jenom na vybrané složky.