Κοινή χρήση μέσω

Ασφαλή δεδομένα με Fabric, μηχανές υπολογιστικής λειτουργίας και OneLake

  • Άρθρο

Το Fabric προσφέρει ένα μοντέλο ασφαλείας πολλών επιπέδων για τη διαχείριση της πρόσβασης σε δεδομένα. Η ασφάλεια μπορεί να οριστεί για έναν ολόκληρο χώρο εργασίας, για μεμονωμένα στοιχεία ή μέσω λεπτομερών δικαιωμάτων σε κάθε μηχανισμό Fabric. Η OneLake έχει τα δικά της ζητήματα ασφαλείας που περιγράφονται σε αυτό το έγγραφο.

Ρόλοι πρόσβασης δεδομένων OneLake (Προεπισκόπηση)

Οι ρόλοι πρόσβασης δεδομένων OneLake (Προεπισκόπηση) επιτρέπουν στους χρήστες να δημιουργούν προσαρμοσμένους ρόλους μέσα σε μια λίμνη και να εκχωρούν δικαιώματα ανάγνωσης μόνο στους καθορισμένους φακέλους κατά την πρόσβαση στο OneLake. Για κάθε ρόλο OneLake, οι χρήστες μπορούν να αντιστοιχίσουν χρήστες, ομάδες ασφαλείας ή να εκχωρήσουν μια αυτόματη ανάθεση με βάση τον ρόλο χώρου εργασίας.

Διάγραμμα που εμφανίζει τη δομή μιας λίμνης δεδομένων που συνδέεται σε ξεχωριστά ασφαλή κοντέινερ.

Μάθετε περισσότερα σχετικά με το Μοντέλο ελέγχου πρόσβασης δεδομένων OneLake και γρήγορα αποτελέσματα με την πρόσβαση στα δεδομένα .

Ασφάλεια συντόμευσης

Οι συντομεύσεις στο Microsoft Fabric επιτρέπουν απλοποιημένη διαχείριση δεδομένων. Η ασφάλεια φακέλου OneLake ισχύει για συντομεύσεις OneLake με βάση τους ρόλους που ορίζονται στο lakehouse όπου αποθηκεύονται τα δεδομένα.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια των συντομεύσεων, ανατρέξτε στο μοντέλο ελέγχου πρόσβασης OneLake. Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με τις συντομεύσεις εδώ..

Έλεγχος ταυτότητας

Το OneLake χρησιμοποιεί το αναγνωριστικό Microsoft Entra για τον έλεγχο ταυτότητας. Μπορείτε να το χρησιμοποιήσετε για να εκχωρήσετε δικαιώματα σε ταυτότητες χρηστών και οντότητες υπηρεσίας. Το OneLake εξάγει αυτόματα την ταυτότητα χρήστη από εργαλεία, τα οποία χρησιμοποιούν τον έλεγχο ταυτότητας Microsoft Entra και τα αντιστοιχίζει στα δικαιώματα που ορίζετε στην πύλη Fabric.

Σημείωμα

Για να χρησιμοποιήσει τις οντότητες υπηρεσίας σε έναν μισθωτή Fabric, ένας διαχειριστής μισθωτή πρέπει να ενεργοποιήσει τα κύρια ονόματα υπηρεσίας (SPN) για ολόκληρο τον μισθωτή ή συγκεκριμένες ομάδες ασφάλειας. Μάθετε περισσότερα σχετικά με την ενεργοποίηση των οντοτήτων υπηρεσίας στις Ρυθμίσεις προγραμματιστή της πύλης διαχείρισης μισθωτή

Αδρανή δεδομένα

Τα δεδομένα που είναι αποθηκευμένα στο OneLake κρυπτογραφούνται σε κατάσταση αδράνειας από προεπιλογή με χρήση κλειδιού διαχειριζόμενου από τη Microsoft. Τα διαχειριζόμενα από τη Microsoft κλειδιά περιστρέφονται κατάλληλα. Τα δεδομένα στο OneLake κρυπτογραφούνται και αποκρυπτογραφούνται με διαφανή τρόπο και είναι συμβατά με FIPS 140-2.

Η κρυπτογράφηση σε αδράνεια με χρήση κλειδιού διαχειριζόμενου από τον πελάτη δεν υποστηρίζεται προς το παρόν. Μπορείτε να υποβάλετε αίτηση για αυτήν τη δυνατότητα στις Ιδέες Microsoft Fabric.

Δεδομένα σε διαμετακόμιση

Τα δεδομένα που μεταφέρονται μέσω του δημόσιου Internet μεταξύ των υπηρεσιών της Microsoft κρυπτογραφούνται πάντα με τουλάχιστον TLS 1.2. Το Fabric διαπραγματεύεται στο TLS 1.3 όποτε αυτό είναι εφικτό. Η κυκλοφορία μεταξύ των υπηρεσιών της Microsoft δρομολογεί πάντα μέσω του καθολικού δικτύου της Microsoft.

Η εισερχόμενη επικοινωνία OneLake επιβάλλει επίσης το TLS 1.2 και διαπραγματεύεται στο TLS 1.3, όποτε αυτό είναι εφικτό. Η εξερχόμενη επικοινωνία Fabric με την υποδομή που ανήκει στον πελάτη προτιμά τα ασφαλή πρωτόκολλα, αλλά μπορεί να επιστρέψει στα παλαιότερα, μη ασφαλή πρωτόκολλα (συμπεριλαμβανομένου του TLS 1.0) όταν δεν υποστηρίζονται νεότερα πρωτόκολλα.

Το Fabric δεν υποστηρίζει προς το παρόν πρόσβαση ιδιωτικής σύνδεσης σε δεδομένα OneLake μέσω προϊόντων που δεν είναι Fabric και Apache Spark.

Να επιτρέπεται σε εφαρμογές που εκτελούνται εκτός του Fabric να αποκτούν πρόσβαση σε δεδομένα μέσω OneLake

Το OneLake σάς επιτρέπει να περιορίσετε την πρόσβαση σε δεδομένα από εφαρμογές που εκτελούνται εκτός των περιβαλλόντων Fabric. Οι διαχειριστές μπορούν να βρουν τη ρύθμιση στην ενότητα OneLake της πύλης διαχείρισης μισθωτή. Όταν ενεργοποιείτε αυτόν τον διακόπτη, οι χρήστες μπορούν να έχουν πρόσβαση σε δεδομένα μέσω όλων των προελεύσεων. Όταν απενεργοποιείτε την εναλλαγή, οι χρήστες δεν μπορούν να έχουν πρόσβαση σε δεδομένα μέσω εφαρμογών που εκτελούνται εκτός των περιβαλλόντων Fabric. Για παράδειγμα, οι χρήστες μπορούν να έχουν πρόσβαση σε δεδομένα μέσω εφαρμογών που χρησιμοποιούν API Azure Data Lake Storage (ADLS) ή εξερεύνηση αρχείων OneLake.

Σχετικό περιεχόμενο