Kom i gang med at sikre data i OneLake
Som en enkelt datasø for hele organisationen er det vigtigt at implementere en skalerbar og robust sikkerhedsmodel i OneLake for at holde følsomme data opdelt. Microsoft OneLake og Microsoft Fabric indeholder flere funktioner, der gør det muligt at holde dataadgangen begrænset til kun de brugere, der har brug for dem. I denne artikel kan du se, hvordan du bedst sikrer dit dataområde med de aktuelle funktioner i OneLake.
Vigtigt
Microsoft Fabric er i øjeblikket i PRØVEVERSION. Disse oplysninger relaterer til et foreløbig produkt, der kan ændres væsentligt, før de udgives. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.
OneLake-struktur
OneLake er en hierarkisk datasø, der ligner ADLS gen 2 eller Windows-filsystemet. Denne struktur gør det muligt at angive sikkerhed på forskellige niveauer i hierarkiet for at styre adgangen. OneLake tilbyder flere funktioner og kontrolelementer på visse niveauer i mappehierarkiet. Disse niveauer er:
Arbejdsområde: Et samarbejdsmiljø, der bruges til at oprette og administrere elementer.
Element: et sæt funktioner, der er samlet i én komponent. Et dataelement er en undertype af element, der gør det muligt at gemme data i det ved hjælp af OneLake. Elementer, der altid er live i arbejdsområder og arbejdsområder, bor altid direkte under OneLake-navneområdet. Denne struktur kan visualiseres på følgende måde:
Tilladelser til arbejdsområde
I den offentlige prøveversion af Microsoft Fabric kan tilladelser kun konfigureres på arbejdsområdeniveau.
Hvis du vil give en bruger adgang til et element, skal brugerne have tilladelser fra en af rollerne i fabric-arbejdsområdet. Brugerne skal som minimum have læseadgang til et element for at kunne se og oprette forbindelse til elementet, som leveres af rollen Fremviser. Brugere i rollen Fremviser kan også oprette forbindelse til og læse data ved hjælp af SQL-slutpunkter for lager- og Lakehouse-elementer eller læse data via Power BI-datasæt.
Adgang direkte til OneLake eller til at skrive data leveres via de andre roller. Administration, medlem og bidragyder giver alle adgang til at læse data direkte i OneLake via Spark eller API'er og skrive data til disse kilder. Lagerelementet er skrivebeskyttet via søgrænsefladen, så selv administratorer kan ikke skrive data til et lager via API'er, men de kan skrive data via SQL.
Beregningstilladelser
Ud over tilladelserne til arbejdsområdet kan dataadgang gives via SQL-beregningsprogrammet i Microsoft Fabric. Den adgang, der tildeles via SQL, gælder kun for brugere, der har adgang til data via SQL, men denne sikkerhed kan bruges til at give visse brugere mere selektiv adgang. I den aktuelle tilstand understøtter SQL begrænsning af adgang til bestemte tabeller og skemaer med sikkerhed på rækkeniveau, der er planlagt i en fremtidig version.
I nedenstående eksempel er en bruger delt et Lakehouse, men kun med fremviseradgang. De tildeles derefter SELECT via SQL-slutpunktet. Når den pågældende bruger forsøger at skrive data via OneLake-API'erne, nægtes adgang, da brugeren ikke har de nødvendige tilladelser, men læsninger, der foretages via SQL SELECT-sætninger, vil lykkes.
Sikring af OneLake
Nu, hvor vi forstår de tilladelser, der er tilgængelige i Microsoft Fabric, kan vi se på et eksempel på, hvordan du bedst strukturerer data i OneLake. Til at begynde med bygger vi en standard medaljonsarkitektur. I denne fremgangsmåde vil vi typisk have et begrænset sæt brugere, der har adgang til bronze- og sølvlagene, med bredere adgang til Guld-laget. En måde at strukturere det på er som følger:
De personer, der er ansvarlige for administration af Bronze og Silver, kan føjes til medlems- eller bidragyderroller, så de kan opdatere og administrere alle dataene i disse miljøer. Da disse brugere har brug for skriveadgang, er dette i øjeblikket den eneste metode til at opnå dette. Brugere, der har brug for adgang til bestemte dataelementer i Bronze- og Silver-laget, kan tildeles rollen Fremviser og få adgang til data via SQL-slutpunkter.
For Gold-laget kan adgang opdeles på tværs af en række mindre arbejdsområder. Hvert arbejdsområde kan være begrænset til et forretningsdomæne eller et sæt brugere, der skal have adgang til disse data. I hvert arbejdsområde kan slutbrugere tildeles rollen Fremviser. Datateknikere, der bygger og administrerer Gold-laget, kan bruge rollen Bidragyder eller Medlem, som giver dem skriveadgang. Hvis et bestemt miljø har brug for strengere adgangskontrolelementer, kan bestemte warehouses eller Lakehouses definere sikkerhed på objektniveau via deres SQL-slutpunkter. Dette gør det kun muligt for nogle tabeller at blive delt med brugere, mens andre er skjult.
Eksemplet ovenfor er kun én af mange måder, hvorpå data kan struktureres i OneLake, men det indeholder anbefalinger til, hvordan du udnytter Funktionerne i Microsoft Fabric til at sikre data. I næste afsnit vil vi se på nogle generelle retningslinjer for anvendelse af sikkerhed.
Generel vejledning
Følgende generelle regler kan bruges til at vejlede strukturering af data i OneLake for at holde dem sikre.
Skriveadgang: Brugere, der har brug for skriveadgang, skal være en del af en arbejdsområderolle, der giver skriveadgang. Dette gælder for alle dataelementer, så områdearbejdsområder for et enkelt team af datateknikere.
Adgang til søen: Hvis brugerne skal have direkte læseadgang til data i OneLake, skal de være en del af arbejdsområderollerne Administration, Medlem eller Bidragyder.
Generel dataadgang: Alle brugere med fremvisertilladelser kan få adgang til data via SQL-slutpunktet for lagre, lakehouses og datasæt.
Sikkerhed på objektniveau: Hvis du vil beskytte følsomme data, skal du give brugerne adgang til et WAREHOUSE- eller Lakehouse SQL-slutpunkt via rollen Fremviser og bruge SQL DENY-sætninger til at begrænse adgangen til visse tabeller.