So sichern Sie ein Lakehouse für Data Science-Teams
Einführung
In diesem Artikel finden Sie eine Übersicht über die Konfiguration der Sicherheit für ein Lakehouse in Fabric für die Verwendung mit Data Science-Teams und -Workloads.
Sicherheitsfeatures
Microsoft Fabric verwendet ein Sicherheitsmodell mit mehreren Ebenen und unterschiedlichen Steuerelementen, die auf unterschiedlichen Ebenen verfügbar sind, um nur die minimal erforderlichen Berechtigungen bereitzustellen. Weitere Informationen zu den verschiedenen Sicherheitsfeatures, die in Fabric verfügbar sind, finden Sie in diesem Dokument.
Sicher nach Anwendungsfall
Die Sicherheit in Microsoft Fabric ist für die Sicherung von Daten für bestimmte Anwendungsfälle optimiert. Ein Anwendungsfall ist eine Gruppe von Benutzern, die spezifischen Zugriff und Zugriff auf Daten über eine bestimmte Engine benötigen. Für Data Science-Szenarien sind einige Beispielanwendungsfälle:
- Apache Spark writer: Benutzer, die Daten mithilfe von Apache Spark-Notebooks in ein Lakehouse schreiben müssen.
- Apache Spark Leser: Benutzer, die Daten mithilfe von Apache Spark-Notebooks lesen müssen.
- Pipeline Leser: Benutzer, die Daten aus einem Lakehouse mithilfe von Pipelines lesen müssen.
- Ersteller von Verknüpfungen: Benutzer, die Verknüpfungen zu Daten in einem Lakehouse erstellen müssen.
Anschließend können wir jeden Anwendungsfall mit den erforderlichen Berechtigungen in Fabric ausrichten.
Schreibzugriff
Für Benutzer, die Daten in Fabric schreiben müssen, wird der Zugriff über die Fabric-Arbeitsbereichsrollen gesteuert. Es gibt drei Arbeitsbereichsrollen, die Schreibberechtigungen erteilen: Administrator, Mitglied und Mitwirkender. Wählen Sie die erforderliche Rolle aus, und gewähren Sie Benutzern Zugriff darauf.
Benutzer mit Schreibzugriff sind nicht durch OneLake-Datenzugriffsrollen (Vorschau) eingeschränkt. Schreibbenutzer können ihren Zugriff auf Daten über die SQL Analyseendpunktdaten einschränken, aber den vollständigen Zugriff auf die Daten in OneLake beibehalten. Um den Zugriff auf Daten für Schreibbenutzer einzuschränken, muss für diese Daten ein separater Arbeitsbereich erstellt werden.
Lesezugriff
Für Benutzer, die Daten mithilfe von Pipelines oder Apache Spark-Notebooks lesen müssen, unterliegen Berechtigungen den Fabric-Elementberechtigungen zusammen mit den OneLake-Datenzugriffsrollen (Vorschau). Die Fabric-Elementberechtigungen steuern, welche Elemente ein Benutzer sehen kann und wie er auf dieses Element zugreifen kann. Die OneLake-Datenzugriffsrollen steuern, auf welche Daten der Benutzer über Erfahrungen zugreifen kann, die eine Verbindung mit OneLake herstellen. Für Lakehouses ohne aktivierte OneLake-Datenzugriffsrollen wird stattdessen der Zugriff auf die ReadAll-Elementberechtigung und der Zugriff auf OneLake-Daten für das gesamte Lakehouse gewährt.
Um Daten zu lesen, benötigt ein Benutzer zuerst Zugriff auf das Lakehouse, in dem sich diese Daten befinden. Die Gewährung des Zugriffs auf ein Lakehouse kann erfolgen, indem Sie die SchaltflächeFreigeben auf einem Lakehouse entweder über die Arbeitsbereichsseite oder über die Lakehouse-UI auswählen. Geben Sie die E-Mail-Adressen oder Sicherheitsgruppe für diese Benutzer ein, und wählen Sie Freigeben aus. (Lassen Sie die Kontrollkästchen Zusätzliche Berechtigungen deaktiviert. Aktivieren Sie für Lakehouses ohne aktivierte Vorschau der OneLake-Datenzugriffsrollen das Kontrollkästchen Alle OneLake-Daten lesen (ReadAll).
Navigieren Sie als Nächstes zum Lakehouse und wählen Sie die SchaltflächeOneLake-Datenzugriff verwalten (Vorschau) aus. Mit diesen Optionen können Sie Rollen erstellen, die Benutzern den Zugriff auf bestimmte Ordner im Lakehouse ermöglichen. Der Zugriff auf Ordner ist standardmäßig unzulässig. Benutzern, die einer Rolle hinzugefügt werden, wird der Zugriff auf die Ordner gewährt, die von dieser Rolle abgedeckt werden. Weitere Informationen finden Sie unter OneLake-Datenzugriffsrollen (Vorschau). Erstellen Sie nach Bedarf Rollen, um Benutzern Zugriff auf das Lesen der Ordner über Pipelines, Verknüpfungen oder Spark-Notebooks zu gewähren.
Wichtig
Alle Lakehouses, die die Vorschau der OneLake-Datenzugriffsrollen verwenden, verfügen über eine DefaultReader-Rolle, die Zugriff auf die Lakehouse-Daten gewährt. Wenn ein Benutzer über die Berechtigung ReadAll verfügt, wird er nicht durch andere Datenzugriffsrollen eingeschränkt. Stellen Sie sicher, dass alle Benutzer, die in einer Datenzugriffsrolle enthalten sind, nicht auch Teil der DefaultReader-Rolle sind oder entfernen Sie die DefaultReader-Rolle.
Verwenden mit Verknüpfungen
Verknüpfungen sind ein OneLake-Feature, mit dem Daten von einem Speicherort aus referenziert werden können, ohne die Daten physisch zu kopieren. Weitere Informationen zu Verknüpfungen finden Sie hier in diesem Dokument.
Sie können Daten für die Verwendung mit Verknüpfungen wie jeden anderen Ordner in OneLake sichern. Nach dem Konfigurieren der Datenzugriffsrollen können Benutzer aus anderen Lakehouses nur Verknüpfungen zu Ordnern erstellen, auf die sie Zugriff haben. Dies kann verwendet werden, um Benutzern in anderen Arbeitsbereichen Zugriff auf nur ausgewählte Daten in einem Lakehouse zu gewähren.
Wichtig
SQL Analyseendpunkt verwendet eine feste Identität für den Zugriff auf Verknüpfungen. Wenn ein Benutzer eine Verknüpfungstabelle über den SQL Analyseendpunkt abfragt, wird die Identität des Lakehouse-Besitzers auf den Zugriff auf die Verknüpfung überprüft. Dies bedeutet, dass beim Erstellen von Verknüpfungen für die Verwendung mit SQL-Abfragen auch der Lakehouse-Ersteller Teil aller OneLake-Datenzugriffsrollen sein muss, die den Zugriff auf nur ausgewählte Ordner einschränken.