OneLake-Sicherheit

  • Artikel

OneLake verwendet ein mehrschichtiges Sicherheitsmodell, das auf der Organisationsstruktur von Komponenten in Microsoft Fabric basiert. Die Sicherheit wird von der Azure Active Directory-Authentifizierung (Azure AD) abgeleitet und ist mit Benutzeridentitäten, Dienstprinzipalen und verwalteten Identitäten kompatibel. Mithilfe von Azure AD- und Fabric-Komponenten können Sie robuste Sicherheitsmechanismen in OneLake aufbauen, um sicherzustellen, dass Ihre Daten geschützt bleiben, während Sie gleichzeitig Kopien reduzieren und die Komplexität minimieren.

Diagramm: Struktur eines Data Lake, der eine Verbindung mit separat gesicherten Containern herstellt.

Wichtig

Microsoft Fabric befindet sich in der Vorschau.

Arbeitsbereichssicherheit

Der Arbeitsbereich ist die primäre Sicherheitsgrenze für Daten in OneLake. Jeder Arbeitsbereich stellt eine einzelne Domäne oder einen einzelnen Projektbereich dar, in dem Teams an Daten zusammenarbeiten können. Die Sicherheit im Arbeitsbereich wird über Fabric-Arbeitsbereichsrollen verwaltet. Weitere Informationen zur rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Fabric: Arbeitsbereichsrollen

Arbeitsbereichsrollen in Fabric gewähren die folgenden Berechtigungen in OneLake.

Funktion Administrator Member Mitwirkender Viewer
Anzeigen von Dateien in OneLake Ja Ja Ja Nein
Schreiben von Dateien in OneLake Ja Ja Ja Nein

Computespezifische Sicherheit

Einige Compute-Engines in Fabric verfügen über eigene Sicherheitsmodelle. Mit Fabric Warehouse können Benutzer beispielsweise den Zugriff mithilfe von T-SQL-Anweisungen definieren. Computespezifische Sicherheit wird immer erzwungen, wenn Sie mit dieser Engine auf Daten zugreifen, aber diese Bedingungen gelten möglicherweise nicht für Benutzer in bestimmten Fabric-Rollen, wenn sie direkt auf OneLake zugreifen. Weitere Informationen dazu, welche Arten von Computesicherheit definiert werden können, finden Sie in der Dokumentation zu Warehouse-, Echtzeitanalysen und Power BI-Datasets.

In der Regel können Benutzer in der Rolle "Viewer" nur über ausgewählte Compute-Engines auf Daten zugreifen, und alle in diesen Engines definierten Sicherheitsregeln gelten. Alle anderen Rollen verfügen über direkten OneLake-Zugriff, sodass sie Daten über Spark, APIs oder eine OneLake-Explorer abfragen können. Die computespezifische Sicherheit gilt jedoch weiterhin für diese Benutzer, wenn sie über diese Compute-Engine auf Daten zugreifen.

Beispiel: Martha ist Administratorin für einen Fabric-Arbeitsbereich und Pradeep ein Viewer. Martha möchte den Zugriff auf bestimmte Tabellen in LakehouseA einschränken. Sie stellt eine Verbindung mit SQL her und definiert die Sicherheit auf Objektebene mithilfe von GRANT- und DENY-Anweisungen. Wenn Pradeep über SQL auf die Daten zugreift, kann er nur die Tabellen aus LakehouseA sehen, auf die er Zugriff erhalten hat.

Tastenkombinationssicherheit

Verknüpfungen in Microsoft Fabric ermöglichen eine stark vereinfachte Datenverwaltung, müssen jedoch einige Sicherheitsüberlegungen beachten. Informationen zum Verwalten der Tastenkombinationssicherheit finden Sie in diesem Dokument.

Authentifizierung

OneLake verwendet Azure Active Directory (Azure AD) für die Authentifizierung. Sie können damit Berechtigungen für Benutzeridentitäten und Dienstprinzipale erteilen. OneLake extrahiert die Benutzeridentität automatisch aus Tools, die die Azure AD-Authentifizierung verwenden, und zuordnen sie den Berechtigungen, die Sie im Fabric-Portal festgelegt haben.

Hinweis

Um Dienstprinzipale in einem Fabric-Mandanten zu verwenden, muss ein Mandantenadministrator Dienstprinzipalnamen (Service Principal Names, SPNs) für den gesamten Mandanten oder bestimmte Sicherheitsgruppen aktivieren.

Screenshot: Einstellungen für Entwickler auf dem Mandanteneinstellungsbildschirm

Fabric unterstützt derzeit keinen privaten Linkzugriff auf OneLake-Daten über Nicht-Fabric-Produkte und Spark.

Zulassen, dass Apps, die außerhalb von Fabric ausgeführt werden, über OneLake auf Daten zugreifen können

OneLake bietet die Möglichkeit, den Zugriff auf Daten von Anwendungen zu beschränken, die außerhalb von Fabric-Umgebungen ausgeführt werden. Administratoren finden die Einstellung im Mandantenadministratorportal. Wenn dieser Schalter aktiviert ist, kann über alle Quellen auf Daten zugegriffen werden. Wenn diese Option deaktiviert ist, kann nicht über Anwendungen zugegriffen werden, die außerhalb von Fabric-Umgebungen ausgeführt werden. Auf Daten kann beispielsweise über Anwendungen wie Azure Databricks, benutzerdefinierte Anwendungen mithilfe von ADLS-APIs oder oneLake-Datei-Explorer zugegriffen werden.

Nächste Schritte