Επισκόπηση ασφάλειας OneLake
Το OneLake είναι μια ιεραρχική λίμνη δεδομένων, όπως το Azure Data Lake Υπηρεσία αποθήκευσης (ADLS) Gen2 ή το σύστημα αρχείων των Windows. Αυτή η δομή σάς επιτρέπει να ορίζετε ασφάλεια σε διαφορετικά επίπεδα στην ιεραρχία για να διέπετε την πρόσβαση. Σε ορισμένα επίπεδα της ιεραρχίας παρέχεται ειδική μεταχείριση, καθώς συσχετίζονται με τις έννοιες του Fabric.
Χώρος εργασίας: ένα συνεργατικό περιβάλλον για τη δημιουργία και διαχείριση στοιχείων.
Στοιχείο: ένα σύνολο δυνατοτήτων σε ένα μόνο στοιχείο. Ένα στοιχείο δεδομένων είναι ένας δευτερεύοντας τύπος στοιχείου που επιτρέπει την αποθήκευση δεδομένων σε αυτό με χρήση του OneLake.
Φάκελοι: φάκελοι μέσα σε ένα στοιχείο που χρησιμοποιούνται για την αποθήκευση και τη διαχείριση δεδομένων.
Τα στοιχεία βρίσκονται πάντα μέσα σε χώρους εργασίας και χώρους εργασίας που βρίσκονται πάντα απευθείας κάτω από τον χώρο ονομάτων OneLake. Μπορείτε να απεικονίσετε αυτή τη δομή ως εξής:
Δικαιώματα χώρου εργασίας
Τα δικαιώματα χώρου εργασίας επιτρέπουν τον ορισμό πρόσβασης σε όλα τα στοιχεία εντός του συγκεκριμένου χώρου εργασίας. Υπάρχουν 4 διαφορετικοί ρόλοι χώρου εργασίας, κάθε ένας από τους οποίους εκχωρεί διαφορετικούς τύπους πρόσβασης.
| Ρόλος | Μπορείτε να προσθέσετε διαχειριστές; | Μπορούν να προσθέσουν μέλη; | Μπορεί να κάνει εγγραφή δεδομένων και να δημιουργεί στοιχεία; | Μπορεί να διαβάσει δεδομένα; |
|---|---|---|---|---|
| Διαχείριση | Όχι | Όχι | Όχι | Όχι |
| Μέλος | Όχι | Όχι | Όχι | Όχι |
| Συμβάλλων | Όχι | όχι | Όχι | Όχι |
| Θεατής | Όχι | όχι | όχι | Όχι |
Σημείωμα
Μπορείτε να προβάλετε το στοιχείο Αποθήκης με ρόλους ανάγνωσης-εγγραφής, αλλά μπορείτε να κάνετε εγγραφή μόνο σε αποθήκες χρησιμοποιώντας ερωτήματα SQL.
Μπορείτε να απλοποιήσετε τη διαχείριση των ρόλων χώρου εργασίας Fabric εκχωρώντας τους σε ομάδες ασφαλείας. Αυτή η μέθοδος σάς επιτρέπει να ελέγχετε την πρόσβαση προσθέτοντας ή καταργώντας μέλη από την ομάδα ασφαλείας.
Δικαιώματα στοιχείου
Με τη δυνατότητα κοινής χρήσης , μπορείτε να παρέχετε σε έναν χρήστη άμεση πρόσβαση σε ένα στοιχείο. Ο χρήστης μπορεί να δει μόνο αυτό το στοιχείο στον χώρο εργασίας και δεν είναι μέλος οποιωνδήποτε ρόλων χώρου εργασίας. Τα δικαιώματα στοιχείων εκχωρούν πρόσβαση για σύνδεση σε αυτό το στοιχείο και σε ποια τελικά σημεία στοιχείων μπορεί να έχει πρόσβαση ο χρήστης.
| Δικαίωμα | Βλέπετε τα μετα-δεδομένα του στοιχείου; | Βλέπετε δεδομένα στην SQL; | Βλέπετε δεδομένα στο OneLake; |
|---|---|---|---|
| Ανάγνωση | Όχι | όχι | Όχι |
| ReadData | Όχι | Όχι | όχι |
| ReadAll | Όχι | Όχι | Ναι* |
*Δεν ισχύει για στοιχεία με ενεργοποιημένους τους ρόλους πρόσβασης δεδομένων OneLake (προεπισκόπηση). Εάν η προεπισκόπηση είναι ενεργοποιημένη, η συνάρτηση ReadAll θα εκχωρήσει πρόσβαση μόνο εάν χρησιμοποιείται ο ρόλος DefaultReader. Εάν ο ρόλος αυτός επεξεργαστεί ή διαγραφεί, η πρόσβαση παραχωρείται με βάση τους ρόλους πρόσβασης δεδομένων στους οποίους ανήκει ο χρήστης.
Ένας άλλος τρόπος ρύθμισης των δικαιωμάτων είναι μέσω της σελίδας Διαχείριση δικαιωμάτων ενός στοιχείου. Χρησιμοποιώντας αυτήν τη σελίδα, μπορείτε να προσθέσετε ή να καταργήσετε δικαιώματα μεμονωμένου στοιχείου για χρήστες ή ομάδες. Τα ακριβή δικαιώματα που είναι διαθέσιμα προσδιορίζονται από τον τύπο στοιχείου.
Δικαιώματα υπολογιστικής λειτουργίας
Η πρόσβαση σε δεδομένα μπορεί επίσης να εκχωρηθεί μέσω της μηχανής υπολογιστικής λειτουργίας SQL στο Microsoft Fabric. Η πρόσβαση που εκχωρείται μέσω SQL ισχύει μόνο για τους χρήστες που αποκτούν πρόσβαση σε δεδομένα μέσω SQL, αλλά μπορείτε να χρησιμοποιήσετε αυτήν την ασφάλεια για να δώσετε πιο επιλεκτική πρόσβαση σε ορισμένους χρήστες. Στην τρέχουσα κατάστασή της, η SQL υποστηρίζει τον περιορισμό της πρόσβασης σε συγκεκριμένους πίνακες και σχήματα, καθώς και την ασφάλεια σε επίπεδο γραμμών και στηλών.
Οι χρήστες που αποκτούν πρόσβαση σε δεδομένα μέσω SQL ενδέχεται να βλέπουν διαφορετικά αποτελέσματα από την πρόσβαση σε δεδομένα απευθείας στο OneLake, ανάλογα με τα δικαιώματα υπολογιστικής λειτουργίας που εφαρμόζονται. Για να αποτρέψετε κάτι τέτοιο, βεβαιωθείτε ότι έχουν ρυθμιστεί τα δικαιώματα στοιχείων ενός χρήστη ώστε να του εκχωρούν πρόσβαση μόνο στο τελικό σημείο SQL (χρησιμοποιώντας ReadData) ή στο OneLake (χρησιμοποιώντας readAll ή προεπισκόπηση ρόλων πρόσβασης δεδομένων).
Στο παρακάτω παράδειγμα, ο χρήστης αποκτά πρόσβαση μόνο για ανάγνωση σε μια λίμνη μέσω κοινής χρήσης στοιχείων. Στον χρήστη εκχωρείται το δικαίωμα SELECT σε έναν πίνακα μέσω του τελικού σημείου ανάλυσης SQL. Όταν αυτός ο χρήστης προσπαθήσει να διαβάσει δεδομένα μέσω των API OneLake, δεν επιτρέπεται η πρόσβαση επειδή δεν διαθέτει επαρκή δικαιώματα. Ο χρήστης μπορεί να διαβάσει με επιτυχία προτάσεις SQL SELECT.
Ρόλοι πρόσβασης δεδομένων OneLake (προεπισκόπηση)
Οι ρόλοι πρόσβασης δεδομένων OneLake είναι μια νέα δυνατότητα που σας επιτρέπει να εφαρμόζετε έλεγχο πρόσβασης βάσει ρόλων (RBAC) στα δεδομένα σας που είναι αποθηκευμένα στο OneLake. Μπορείτε να ορίσετε ρόλους ασφαλείας που εκχωρούν πρόσβαση ανάγνωσης σε συγκεκριμένους φακέλους μέσα σε ένα στοιχείο Fabric και να τους εκχωρήσετε σε χρήστες ή ομάδες. Τα δικαιώματα πρόσβασης καθορίζουν τους φακέλους που βλέπουν οι χρήστες κατά την πρόσβαση στην προβολή λίμνης των δεδομένων μέσω των API UX, notebooks ή OneLake.
Οι χρήστες Fabric στους ρόλους Διαχείριση, Μέλος ή Συμβάλλων μπορούν να ξεκινήσουν δημιουργώντας ρόλους πρόσβασης δεδομένων OneLake για την εκχώρηση πρόσβασης μόνο σε συγκεκριμένους φακέλους σε ένα lakehouse. Για να εκχωρήσετε πρόσβαση σε δεδομένα σε μια λίμνη, προσθέστε χρήστες σε έναν ρόλο πρόσβασης δεδομένων. Οι χρήστες που δεν αποτελούν μέρος ενός ρόλου πρόσβασης δεδομένων δεν θα βλέπουν δεδομένα σε αυτό το lakehouse.
Μάθετε περισσότερα σχετικά με τη δημιουργία ρόλων πρόσβασης δεδομένων στο θέμα Γρήγορα αποτελέσματα με ρόλους πρόσβασης δεδομένων.
Μάθετε περισσότερα σχετικά με το μοντέλο ασφαλείας για τους ρόλους πρόσβασης Μοντέλο Έλεγχος πρόσβασης δεδομένων.
Ασφάλεια συντόμευσης
Οι συντομεύσεις στο Microsoft Fabric επιτρέπουν απλοποιημένη διαχείριση δεδομένων, ωστόσο πρέπει να λάβετε υπόψη ορισμένα ζητήματα ασφαλείας. Για πληροφορίες σχετικά με τη διαχείριση της ασφάλειας συντομεύσεων, ανατρέξτε σε αυτό το έγγραφο.
Για τους ρόλους πρόσβασης δεδομένων OneLake (προεπισκόπηση), οι συντομεύσεις λαμβάνουν ειδική μεταχείριση ανάλογα με τον τύπο συντόμευσης. Η πρόσβαση σε μια συντόμευση OneLake ελέγχεται πάντα από τους ρόλους πρόσβασης στον προορισμό της συντόμευσης. Αυτό σημαίνει ότι για μια συντόμευση από lakehouseA στο LakehouseB, η ασφάλεια LakehouseB τίθεται σε ισχύ. Οι ρόλοι πρόσβασης δεδομένων στο LakehouseA δεν μπορούν να εκχωρήσουν ή να επεξεργαστούν την ασφάλεια της συντόμευσης προς το LakehouseB.
Για εξωτερικές συντομεύσεις στο Amazon S3 ή το ADLS Gen2, η ασφάλεια ρυθμίζεται μέσω ρόλων πρόσβασης δεδομένων στο ίδιο το lakehouse. Μια συντόμευση από το LakehouseA σε έναν κάδο S3 μπορεί να έχει ρόλους πρόσβασης δεδομένων ρυθμισμένους στο LakehouseA. Είναι σημαντικό να έχετε υπόψη ότι μόνο στο ριζικό επίπεδο της συντόμευσης μπορεί να έχει εφαρμοστεί ασφάλεια. Η εκχώρηση πρόσβασης σε υπο φακέλους της συντόμευσης θα έχει ως αποτέλεσμα σφάλματα δημιουργίας ρόλων.
Μάθετε περισσότερα σχετικά με το μοντέλο ασφαλείας για συντομεύσεις στο μοντέλο Έλεγχος πρόσβασης δεδομένων
Σχετικό περιεχόμενο
Σχόλια
Σύντομα διαθέσιμα: Καθ' όλη τη διάρκεια του 2024 θα καταργήσουμε σταδιακά τα ζητήματα GitHub ως μηχανισμό ανάδρασης για το περιεχόμενο και θα το αντικαταστήσουμε με ένα νέο σύστημα ανάδρασης. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα: https://aka.ms/ContentUserFeedback.
Υποβολή και προβολή σχολίων για