Erste Schritte mit dem Schützen von Daten in OneLake

Als einzelner Data Lake für Ihre gesamte organization ist es von entscheidender Bedeutung, ein skalierbares und robustes Sicherheitsmodell in OneLake zu implementieren, um vertrauliche Daten einzuteilen. Microsoft OneLake und Microsoft Fabric bieten mehrere sofort einsatzbereite Funktionen, um den Datenzugriff auf die Benutzer zu beschränken, die sie benötigen. In diesem Artikel erfahren Sie, wie Sie Ihren Datenbestand mit den aktuellen Funktionen in OneLake am besten schützen.

Wichtig

Microsoft Fabric befindet sich derzeit in der Vorschauversion. Diese Informationen beziehen sich auf eine Vorabversion des Produkts, an der vor der Veröffentlichung noch wesentliche Änderungen vorgenommen werden können. Microsoft übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, für die hier bereitgestellten Informationen.

OneLake-Struktur

OneLake ist ein hierarchischer Data Lake, ähnlich wie ADLS Gen2 oder das Windows-Dateisystem. Diese Struktur ermöglicht es, die Sicherheit auf verschiedenen Ebenen in der Hierarchie festzulegen, um den Zugriff zu steuern. OneLake bietet weitere Features und Steuerelemente auf bestimmten Ebenen in der Ordnerhierarchie. Diese Ebenen sind:

Arbeitsbereich: Eine Zusammenarbeitsumgebung, die zum Erstellen und Verwalten von Elementen verwendet wird.

Element: Eine Reihe von Funktionen, die in einer einzelnen Komponente zusammengefasst sind. Ein Datenelement ist ein Untertyp des Elements, mit dem Daten mithilfe von OneLake darin gespeichert werden können. Elemente befinden sich immer in Arbeitsbereichen und Arbeitsbereiche befinden sich immer direkt unter dem OneLake-Namespace. Diese Struktur kann wie folgt visualisiert werden:

Diagramm, das die hierarchische Natur von OneLake als Ordnerstruktur zeigt. OneLake/Workspace/Item als Beispiel.

Arbeitsbereichberechtigungen

In der öffentlichen Vorschauversion von Microsoft Fabric können Berechtigungen nur auf Arbeitsbereichsebene konfiguriert werden.

Um einem Benutzer Zugriff auf ein Element zu gewähren, benötigen Benutzer Berechtigungen aus einer der Fabric-Arbeitsbereichsrollen.. Benutzer benötigen mindestens Lesezugriff für ein Element, um dieses Element anzuzeigen und eine Verbindung mit diesem Element herzustellen, das von der Rolle "Viewer" bereitgestellt wird. Benutzer in der Rolle "Viewer" können auch mithilfe von SQL-Endpunkten für die Warehouse- und Lakehouse-Elemente eine Verbindung mit Daten herstellen und sie lesen oder Daten über Power BI-Datasets lesen.

Der direkte Zugriff auf OneLake oder das Schreiben von Daten wird über die anderen Rollen bereitgestellt. Admin, Member und Mitwirkender alle bieten Zugriff auf das direkte Lesen von Daten in OneLake über Spark oder APIs und Schreiben von Daten in diese Quellen. Das Warehouse-Element ist schreibgeschützt über die Lake-Schnittstelle, sodass auch Administratoren nicht in der Lage sind, Daten über APIs in ein Warehouse zu schreiben, aber sie können Daten über SQL schreiben.

Computeberechtigungen

Zusätzlich zu den Arbeitsbereichsberechtigungen kann der Datenzugriff über die SQL-Compute-Engine in Microsoft Fabric gewährt werden. Der über SQL gewährte Zugriff gilt nur für Benutzer, die über SQL auf Daten zugreifen, aber diese Sicherheit kann verwendet werden, um bestimmten Benutzern selektiveren Zugriff zu gewähren. In seinem aktuellen Zustand unterstützt SQL das Einschränken des Zugriffs auf bestimmte Tabellen und Schemas mit sicherheit auf Zeilenebene, die in einem zukünftigen Release geplant ist.

Im folgenden Beispiel wird ein Benutzer als Lakehouse freigegeben, aber nur mit Viewer-Zugriff. Sie erhalten dann SELECT über den SQL-Endpunkt. Wenn dieser Benutzer versucht, Daten über die OneLake-APIs zu schreiben, wird der Zugriff verweigert, da er nicht über ausreichende Berechtigungen verfügt, aber Lesevorgänge, die über SQL SELECT-Anweisungen durchgeführt werden, erfolgreich sind.

Diagramm: Benutzer, die über SQL auf Daten zugreifen, aber beim direkten Abfragen von OneLake den Zugriff verweigert bekommen.

Sichern von OneLake

Nachdem wir uns nun mit den in Microsoft Fabric verfügbaren Berechtigungen vertraut machen, sehen wir uns ein Beispiel an, wie Daten in OneLake am besten strukturiert werden können. Zunächst erstellen wir eine Standard-Medaillonarchitektur. Bei diesem Ansatz möchten wir in der Regel eine begrenzte Gruppe von Benutzern haben, die Zugriff auf die Bronze- und Silberebene haben, mit einem breiteren Zugriff auf die Gold-Schicht. Eine Möglichkeit zum Strukturieren ist wie folgt:

Diagramm, das Bronze- und Silberebenen als jeweils einen Arbeitsbereich zeigt. Die Goldschicht ist in mehrere verschiedene Arbeitsbereiche für jede Datendomäne unterteilt.

Die Personen, die für die Verwaltung von Bronze und Silver verantwortlich sind, können den Rollen "Mitglied" oder "Mitwirkender" hinzugefügt werden, damit sie alle Daten in diesen Umgebungen aktualisieren und verwalten können. Da diese Benutzer Schreibzugriff benötigen, ist dies derzeit die einzige Methode, um dies zu erreichen. Benutzer, die Zugriff auf bestimmte Datenelemente innerhalb der Bronze- und Silver-Ebene benötigen, können über SQL-Endpunkte die Rolle Viewer erhalten und auf Daten zugreifen.

Für die Gold-Ebene kann der Zugriff auf mehrere kleinere Arbeitsbereiche aufgeteilt werden. Jeder Arbeitsbereich kann auf eine Geschäftsdomäne oder eine Gruppe von Benutzern festgelegt werden, die auf diese Daten zugreifen müssen. In jedem Arbeitsbereich können Endbenutzer die Rolle "Viewer" erhalten. Datentechniker, die die Gold-Schicht erstellen und verwalten, können die Rolle Mitwirkender oder Mitglied verwenden, die ihnen Schreibzugriff gewährt. Wenn eine bestimmte Umgebung strengere Zugriffskontrollen erfordert, können bestimmte Warehouses oder Lakehouses die Sicherheit auf Objektebene über ihre SQL-Endpunkte definieren. Dadurch können nur einige Tabellen für Benutzer freigegeben werden, während andere ausgeblendet sind.

Das obige Beispiel stellt nur eine von vielen Möglichkeiten dar, wie Daten in OneLake strukturiert werden können. Es enthält jedoch Empfehlungen für die Nutzung der Funktionen von Microsoft Fabric zum Schützen von Daten. Im nächsten Abschnitt werden einige allgemeine Anleitungen zum Anwenden von Sicherheit behandelt.

Allgemeine Hinweise

Die folgenden allgemeinen Regeln können verwendet werden, um daten in OneLake zu strukturieren, um sie zu schützen.

Schreibzugriff: Benutzer, die Schreibzugriff benötigen, müssen Teil einer Arbeitsbereichsrolle sein, die Schreibzugriff gewährt. Dies gilt für alle Datenelemente, sodass Arbeitsbereiche für ein einzelnes Team von Datentechnikern gelten.

Lake-Zugriff: Um Benutzern direkten Lesezugriff auf Daten in OneLake zu gewähren, müssen sie Teil der Arbeitsbereichsrollen Admin, Mitglied oder Mitwirkender sein.

Allgemeiner Datenzugriff: Jeder Benutzer mit Viewer-Berechtigungen kann über den SQL-Endpunkt für Warehouses, Lakehouses und Datasets auf Daten zugreifen.

Sicherheit auf Objektebene: Um vertrauliche Daten zu schützen, gewähren Sie Benutzern über die Rolle Viewer Zugriff auf einen Warehouse- oder Lakehouse-SQL-Endpunkt, und verwenden Sie SQL DENY-Anweisungen, um den Zugriff auf bestimmte Tabellen einzuschränken.

Nächste Schritte