So sichern Sie Daten für allgemeine Datenarchitekturen
Dieser Artikel bietet einen Überblick darüber, wie Sie die Sicherheit für OneLake-Daten sowohl für Data Mesh- als auch für Hub-and-Spoke-Architekturen konfigurieren.
Sicherheitsfeatures
Microsoft Fabric verwendet ein Sicherheitsmodell mit mehreren Ebenen und unterschiedlichen Steuerelementen, die auf unterschiedlichen Ebenen verfügbar sind, um nur die minimal erforderlichen Berechtigungen bereitzustellen. Weitere Informationen zu den verschiedenen Sicherheitstypen, die in dieser Anleitung behandelt werden, finden Sie unter Datenzugriffskontrollmodell in OneLake.
Sicher für Data Mesh
Data Mesh ist ein architektonisches Paradigma, bei dem Daten als Produkt und nicht als Dienst oder Ressource behandelt werden. Data Mesh zielt darauf ab, den Besitz und die Verwaltung von Daten über verschiedene Bereiche und Teams hinweg zu dezentralisieren und gleichzeitig Interoperabilität und Auffindbarkeit über eine gemeinsame Plattform zu ermöglichen. In einer Data Mesh-Architektur verwaltet jedes dezentralisierte Team das Eigentum an den Daten, die zu seinem Datenprodukt gehören. Die Sicherheitsanweisungen in diesem Abschnitt beziehen sich auf ein einzelnes Datenproduktteam, das den Zugriff für seinen Arbeitsbereich konfiguriert. Die Schritte sollten von jedem Datenproduktteam in seinem eigenen Arbeitsbereich wiederholt werden, da sie den Zugriff für nachgeschaltete Benutzer ermöglichen.
Um mit dem Aufbau eines Datennetzes zu beginnen, verwenden Sie die Domänenfunktion von Microsoft Fabric, um Arbeitsbereiche entsprechend dem zugehörigen Datenprodukt und dem Eigentümer zu kennzeichnen.
Innerhalb der Domänen hat jedes Team seinen eigenen Arbeitsbereich oder seine eigenen Arbeitsbereiche. Der Arbeitsbereich speichert die Daten, die für die Erstellung der endgültigen Datenprodukte für den Verbrauch benötigt werden. Gewähren Sie Benutzern mit Hilfe von Arbeitsbereichsrollen Zugriff auf den Arbeitsbereich.
Identifizieren Sie die nachgelagerten Nutzer Ihrer Datenprodukte und gewähren Sie den Zugriff entsprechend den Mindestberechtigungen, die zum Erreichen ihrer Ziele erforderlich sind. Um die Benutzer auf ihre Zielerfahrungen auszurichten, kann jeder Art von nachgeschaltetem Benutzer Zugriff auf ein einzelnes Fabric-Datenelement gewährt werden. Die nachstehende Tabelle zeigt einige häufige Anwendungsfälle für Data Mesh-Kunden und die entsprechenden Fabric-Elemente.
| Benutzer | Fabric-Elemente |
|---|---|
| Wissenschaftliche Fachkräfte für Daten | Apache Spark-Notebooks oder Lakehouse |
| Technische Fachkräfte für Daten | Apache Spark-Notebooks, Datenflüsse oder Pipelines |
| Business Analysts | SQL-Analyseendpunkt |
| Berichtsersteller | Semantische Modelle |
| Berichtsverbraucher | Power BI-Berichte |
Sicher für Hub-and-Spoke
Eine Hub-and-Spoke-Architektur unterscheidet sich von einem Data Mesh dadurch, dass alle zertifizierten Datenprodukte an einem einzigen, zentral gelegenen Standort verwaltet werden. Nachgelagerte Verbraucher konzentrieren sich weniger auf die Erstellung zusätzlicher Datenprodukte und führen stattdessen Analysen mit den Daten durch, die vom zentralen Team produziert werden.
Identifizieren Sie die nachgelagerten Nutzer und gewähren Sie den Zugriff entsprechend den Mindestberechtigungen, die zum Erreichen ihrer Ziele erforderlich sind. Um die Benutzer auf ihre Zielerfahrungen auszurichten, kann jeder Art von nachgeschaltetem Benutzer Zugriff auf ein einzelnes Fabric-Datenelement gewährt werden. Die Benutzerpersona-Tabelle zeigt einige häufige Anwendungsfälle für Hub-and-Spoke zusammen mit den relevanten Fabric-Elementen.
| Benutzer | Fabric-Elemente |
|---|---|
| Wissenschaftliche Fachkräfte für Daten | Apache Spark-Notebooks oder Lakehouse |
| Business Analysts | SQL-Analyseendpunkt |
| Berichtsersteller | Semantische Modelle |
| Berichtsverbraucher | Power BI-Berichte |
Arbeitsbereichsrollen
Die Zuweisung von Arbeitsbereichsrollen folgt den gleichen Richtlinien für Hub-and-Spoke- und Data-Mesh-Architekturen. In der Tabelle mit den Aufgabenbereichen ist angegeben, welche Arbeitsbereichsrolle den Benutzern auf der Grundlage der Funktionen, die sie im Arbeitsbereich ausführen, zugewiesen werden soll.
| Jobverantwortlichkeiten | Arbeitsbereichsrolle |
|---|---|
| Besitzen des Arbeitsbereichs und Verwalten von Rollenzuweisungen | Administrator |
| Verwalten von Rollenzuweisungen für Nicht-Admin-Benutzer | Member |
| Erstellen von Fabric-Artikeln und Schreiben von Daten | Mitwirkender |
| Erstellen von Tabellen und Ansichten mit SQL | Viewer + SQL-Berechtigungen |
Wissenschaftliche Fachkräfte für Daten
Wissenschaftliche Fachkraft für Daten benötigen Zugang zu Daten in einem Lakehouse, um sie mit Apache Spark zu nutzen zu können. Bei Data Mesh und Hub-and-Spoke greifen die Spark-Benutzer auf Daten aus einem anderen Arbeitsbereich zu als dem, in dem sich die Daten befinden. So können wissenschaftliche Fachkräfte für Daten Modelle und Experimente erstellen, ohne den Arbeitsbereich, in dem die Daten gespeichert sind, überladen zu müssen. Wissenschaftliche Fachkräfte für Daten können auch andere, nicht von Spark stammende Dienste nutzen, die sich direkt mit den OneLake-Datenpfaden verbinden, wie z. B. Azure Databricks oder Dremio.
Um wissenschaftlichen Fachkräften für Daten Zugang zu gewähren, verwenden Sie die Schaltfläche Freigeben, und geben Sie so das Lakehouse frei. Markieren Sie im Dialog das Feld Alle Apache Spark lesen. Für Lakehouses mit aktivierten OneLake Datenzugriffsrollen geben Sie denselben Benutzern Zugriff, indem Sie sie zu einer OneLake Datenzugriffsrolle hinzufügen. Die Verwendung von OneLake-Datenzugriffsrollen ermöglicht einen feiner abgestuften Zugriff auf die Daten. Technische Fachkräfte für Daten können dann Verknüpfungen zur Auswahl von Tabellen oder Ordnern in einem Lakehouse erstellen.
Technische Fachkräfte für Daten
Technische Fachkräfte für Daten benötigen Zugang zu den Daten in einem Lakehouse, um nachgelagerte Datenprodukte zu entwickeln. Technische Fachkräfte für Daten benötigen Zugriff auf die Daten in OneLake, damit Pipelines oder Notebooks erstellt werden können, um die Daten zu lesen. In einem echten Hub-and-Spoke-Modell existiert die Rolle der technischen Fachkraft für Daten nur innerhalb der Schichten des zentralen Hub-Teams. Bei der Datenvernetzung kombinieren technische Fachkräfte für Daten jedoch Datenprodukte aus verschiedenen Bereichen, um neue Datensätze zu erstellen.
Verwenden Sie die Schaltfläche Teilen, um das Lakehouse mit technischen Fachkräften für Daten zu teilen. Überprüfen Sie im Dialog das Feld Alle Apache Spark lesen. Für Lakehouses mit aktivierten OneLake Datenzugriffsrollen geben Sie denselben Benutzern Zugriff, indem Sie sie zu einer OneLake Datenzugriffsrolle hinzufügen. Die Verwendung von OneLake-Datenzugriffsrollen ermöglicht einen feiner abgestuften Zugriff auf die Daten. Technische Fachkräfte für Daten können dann Verknüpfungen zur Auswahl von Tabellen oder Ordnern in einem Lakehouse erstellen.
Business Analysts
Business Analysts (manchmal auch Data Analysts genannt) fragen Daten über SQL ab, um geschäftliche Fragen zu beantworten.
Verwenden Sie die Schaltfläche Teilen, um das Lakehouse mit den Business Analysts zu teilen. Markieren Sie im Dialog das Feld Alle SQL-Endpunktdaten lesen. Mit dieser Einstellung haben Business Analysts Zugriff auf die Daten im SQL-Analyseendpunkt eines Lakehouses, können aber die zugrunde liegenden OneLake-Dateien nicht einsehen.
Der Zugriff auf die Daten kann für diese Benutzer weiter eingeschränkt werden, indem die Sicherheit auf Zeilen- oder Spaltenebene direkt in SQL definiert wird.
Berichtsersteller
Berichtsersteller erstellen Power BI-Berichte, die andere Benutzer nutzen können.
Verwenden Sie die Schaltfläche Teilen, um das Lakehouse mit den Berichterstellern zu teilen. Aktivieren Sie das Kontrollkästchen Berichte auf Basis des semantischen Standardmodells erstellen im Dialogfeld. Diese Berechtigung ermöglicht es den Berichterstellern, Berichte unter Verwendung des mit dem Lakehouse verbundenen semantischen Modells zu erstellen. Diese Benutzer können weder auf die Daten in OneLake zugreifen noch haben sie vollen Zugriff auf den SQL-Analyseendpunkt.
Berichtsverbraucher
Berichtsverbraucher sind die Führungskräfte oder Direktoren, die die Daten in einem Power BI-Bericht ansehen, um Entscheidungen zu treffen.
Teilen Sie einen Bericht mit Verbrauchern, indem Sie die Schaltfläche Teilen verwenden. Kreuzen Sie keines der Kästchen an, um Zugriff auf den Bericht zu gewähren, aber keine der zugrunde liegenden Daten zu sehen. Um zu verhindern, dass Benutzer auf den SQL-Analyseendpunkt zugreifen und Tabellen einsehen können, stellen Sie sicher, dass keine SQL-Berechtigungen definiert sind, die diesen Benutzern Zugriff gewähren würden.
Sie können die Daten auch über eine App mit den Berichtsverbrauchern teilen. Apps ermöglichen Benutzern den Zugriff auf einen vordefinierten Bericht oder eine Reihe von Berichten, ohne dass sie Zugriff auf den zugrunde liegenden Arbeitsbereich benötigen. Beachten Sie, dass die Benutzer bei Berichten im Direct Lake-Modus das zugrundeliegende Lakehouse für sich freigeben müssen, um die Daten sehen zu können.