OneLake-Sicherheitsübersicht
OneLake ist ein hierarchischer Data Lake, ähnlich wie Azure Data Lake Storage (ADLS) Gen 2 oder das Windows-Dateisystem. Diese Struktur ermöglicht es, die Sicherheit auf verschiedenen Ebenen der Hierarchie festzulegen, um den Zugriff zu steuern. Einige Ebenen in der Hierarchie werden speziell behandelt, da sie mit Fabric-Konzepten korrelieren.
Arbeitsbereich: eine Umgebung für die Zusammenarbeit zum Erstellen und Verwalten von Elementen.
Element: eine festgelegte Anzahl von Funktionen, die in einer einzigen Komponente gebündelt sind. Ein Datenelement ist ein Untertyp eines Elements, mit dem Daten in OneLake gespeichert werden können.
Ordner: Ordner innerhalb eines Elements, die zum Speichern und Verwalten von Daten verwendet werden.
Elemente sind immer in Arbeitsbereichen enthalten, und Arbeitsbereiche befinden sich immer direkt unter dem OneLake-Namespace. Sie können diese Struktur wie folgt visualisieren:
Arbeitsbereichberechtigungen
Arbeitsbereichsberechtigungen gewähren die Definierung des Zugriffs auf alle Elemente innerhalb eines Arbeitsbereichs. Es gibt vier verschiedene Arbeitsbereichsrollen, von denen jede verschiedene Zugriffstypen gewährt.
Role | Können Administratoren hinzugefügt werden? | Können Mitglieder hinzugefügt werden? | Können Daten geschrieben und Elemente erstellt werden? | Können Daten gelesen werden? |
---|---|---|---|---|
Administrator | Ja | Ja | Ja | Ja |
Member | No | Ja | Ja | Ja |
Mitwirkender | No | Nein | Ja | Ja |
Zuschauer | No | Nr. | Nein | Ja |
Hinweis
Sie können das Warehouse-Element mit Lese-/Schreibrollen anzeigen, aber Sie können nur mithilfe von SQL-Abfragen in Warehouses schreiben.
Sie können die Verwaltung von Fabric-Arbeitsbereichsrollen vereinfachen, indem Sie sie Sicherheitsgruppen zuweisen. Mit dieser Methode können Sie den Zugriff steuern, indem Sie Mitglieder zu einer Sicherheitsgruppe hinzufügen oder aus dieser entfernen.
Elementberechtigungen
Mit dem Freigabe-Feature können Sie einem Benutzer direkten Zugriff auf ein Element gewähren. Den Benutzer*innen wird nur dieses Element im Arbeitsbereich angezeigt, und sie sind keine Mitglieder von Arbeitsbereichsrollen. Elementberechtigungen gewähren Zugriff, um eine Verbindung mit diesem Element herzustellen und auf welche Elementendpunkte der Benutzer zugreifen kann.
Berechtigung | Siehe Element, Metadaten? | Siehe Daten in SQL? | Siehe Daten in OneLake? |
---|---|---|---|
Lesen Sie | Ja | Nr. | Nein |
ReadData | No | Ja | No |
ReadAll | No | No | Ja* |
*Nicht verfügbar für Elemente mit aktivierten OneLake-Datenzugriffsrollen (Vorschau). Wenn die Vorschau aktiviert ist, gewährt ReadAll nur Zugriff, wenn die DefaultReader-Rolle verwendet wird. Wenn diese Rolle bearbeitet oder gelöscht wird, wird stattdessen der Zugriff basierend auf den Datenzugriffsrollen gewährt, zu denen der Benutzer gehört.
Eine weitere Möglichkeit zum Konfigurieren von Berechtigungen ist die Seite Berechtigungen verwalten eines Elements. Mithilfe dieser Seite können Sie einzelne Elementberechtigungen für Benutzer oder Gruppen hinzufügen oder entfernen. Die genau verfügbaren Berechtigungen werden durch den Elementtyp bestimmt.
Computeberechtigungen
Datenzugriff kann auch über die SQL-Compute-Engine in Microsoft Fabric gewährt werden. Der über SQL gewährte Zugriff gilt nur für Benutzer*innen, die über SQL auf Daten zugreifen, aber Sie können diese Sicherheitskonfiguration nutzen, um bestimmten Benutzer*innen einen selektiveren Zugriff zu ermöglichen. Im derzeitigen Zustand unterstützt SQL die Einschränkung des Zugriffs auf bestimmte Tabellen und Schemas sowie die Sicherheit auf Zeilen- und Spaltenebene.
Benutzer, die über SQL auf Daten zugreifen, sehen je nach angewendeten Computeberechtigungen möglicherweise andere Ergebnisse als der Zugriff auf Daten direkt in OneLake. Um dies zu verhindern, stellen Sie sicher, dass die Elementberechtigungen eines Benutzers so konfiguriert sind, dass sie nur Zugriff auf den SQL-Analyseendpunkt (mithilfe von ReadData) oder OneLake (mit ReadAll- oder Datenzugriffsrollenvorschau) gewähren.
Im folgenden Beispiel erhält ein Benutzer über die Elementfreigabe schreibgeschützten Zugriff auf ein Lakehouse. Der Benutzer erhält über den SQL-Analyseendpunkt die SELECT-Berechtigung für eine Tabelle. Wenn dieser Benutzer versucht, Daten über die OneLake-APIs zu lesen, wird der Zugriff verweigert, da er nicht über ausreichende Berechtigungen verfügt. Der Benutzer kann SQL SELECT-Anweisungen erfolgreich lesen.
OneLake-Datenzugriffsrollen (Vorschau)
OneLake-Datenzugriffsrollen ist ein neues Feature, mit dem Sie rollenbasierte Zugriffssteuerung (RBAC) auf Ihre in OneLake gespeicherten Daten anwenden können. Sie können Sicherheitsrollen definieren, die Lesezugriff auf bestimmte Ordner innerhalb eines Fabric-Elements gewähren und diese Benutzern oder Gruppen zuweisen. Die Zugriffsberechtigungen bestimmen, welche Ordner Benutzer beim Zugriff auf die Lakeanzeige der Daten sehen über die Lakehouse-UX, Notebooks oder OneLake-APIs.
Fabric-Benutzer in den Rollen Administrator, Mitglied oder Mitwirkender können beginnen, indem Sie OneLake-Datenzugriffsrollen erstellen, um nur für bestimmte Ordner in einem Lakehouse Zugriff zu gewähren. Um den Zugriff auf Daten in einem Lakehouse zu gewähren, fügen Sie Benutzer zu einer Datenzugriffsrolle hinzu. Benutzer, die nicht Teil einer Datenzugriffsrolle sind, sehen keine Daten in diesem Lakehouse.
Erfahren Sie mehr über das Erstellen von Datenzugriffsrollen in Erste Schritte mit Datenzugriffsrollen.
Erfahren Sie mehr über das Sicherheitsmodell für Zugriffsrollen des Datenzugriffssteuerungsmodells.
Sicherheit mit Verknüpfungen
Verknüpfungen in Microsoft Fabric ermöglichen eine vereinfachte Datenverwaltung, es müssen jedoch einige Sicherheitsüberlegungen beachtet werden. Informationen zum Verwalten der Sicherheit mit Verknüpfungen finden Sie in diesem Dokument.
Bei OneLake-Datenzugriffsrollen (Vorschau) erhalten Verknüpfungen je nach Verknüpfungstyp eine spezielle Behandlung. Der Zugriff auf eine OneLake-Verknüpfung wird immer durch die Zugriffsrollen auf dem Ziel der Verknüpfung gesteuert. Dies bedeutet, dass für eine Verknüpfung von LakehouseA zu LakehouseB die Sicherheit von LakehouseB wirksam wird. Datenzugriffsrollen in LakehouseA können die Sicherheit der Verknüpfung zu LakehouseB nicht gewähren oder bearbeiten.
Für externe Verknüpfungen zu Amazon S3 oder ADLS Gen2 wird die Sicherheit über Datenzugriffsrollen im Lakehouse selbst konfiguriert. Eine Verknüpfung von LakehouseA zu einem S3-Bucket kann in LakehouseA konfigurierte Datenzugriffsrollen haben. Es ist wichtig zu beachten, dass nur auf die Rootebene der Verknüpfung Sicherheit angewendet werden kann. Zugewieser Zugriff auf Unterordner der Verknüpfung führt zu Fehlern bei der Rollenerstellung.
Erfahren Sie mehr über das Sicherheitsmodell für Verknüpfungen des Datenzugriffssteuerungsmodells.