Σημείωση
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να συνδεθείτε ή να αλλάξετε καταλόγους.
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να αλλάξετε καταλόγους.
Το OneLake είναι μια ιεραρχική λίμνη δεδομένων, όπως το Azure Data Lake Storage (ADLS) Gen2 ή το σύστημα αρχείων των Windows. Η ασφάλεια στο OneLake επιβάλλεται τόσο στο επίπεδο ελέγχου όσο και στο επίπεδο δεδομένων:
- Δικαιώματα επιπέδου ελέγχου: Διαχειριστείτε τις ενέργειες που μπορούν να εκτελέσουν οι χρήστες εντός του περιβάλλοντος, όπως η δημιουργία, η διαχείριση ή η κοινή χρήση στοιχείων. Τα δικαιώματα επιπέδου ελέγχου συχνά παρέχουν δικαιώματα επιπέδου δεδομένων από προεπιλογή.
- Δικαιώματα επιπέδου δεδομένων: Διαχειριστείτε ποια δεδομένα μπορούν να έχουν πρόσβαση ή προβολή οι χρήστες, ανεξάρτητα από τη δυνατότητά τους να διαχειρίζονται πόρους.
Μπορείτε να ορίσετε ασφάλεια σε κάθε επίπεδο εντός της λίμνης δεδομένων. Ωστόσο, ορισμένα επίπεδα στην ιεραρχία τυγχάνουν ειδικής μεταχείρισης επειδή συσχετίζονται με τις έννοιες του Fabric. Η ασφάλεια OneLake ελέγχει όλη την πρόσβαση στα δεδομένα OneLake με δικαιώματα που μεταβιβάζονται από το γονικό στοιχείο ή χώρο εργασίας. Μπορείτε να ορίσετε δικαιώματα στα ακόλουθα επίπεδα:
Χώρος εργασίας: Ένα συνεργατικό περιβάλλον για τη δημιουργία και τη διαχείριση αντικειμένων. Μπορείτε να διαχειριστείτε την ασφάλεια μέσω ρόλων χώρου εργασίας σε αυτό το επίπεδο.
Στοιχείο: Ένα σύνολο δυνατοτήτων ομαδοποιημένων σε ένα μόνο στοιχείο. Ένα στοιχείο δεδομένων είναι ένας δευτερεύων τύπος στοιχείου που επιτρέπει την αποθήκευση δεδομένων μέσα σε αυτό χρησιμοποιώντας το OneLake, όπως μια λίμνη, μια αποθήκη ή μια βάση δεδομένων SQL. Τα στοιχεία κληρονομούν δικαιώματα από τους ρόλους του χώρου εργασίας, αλλά μπορούν επίσης να έχουν πρόσθετα δικαιώματα.
Φάκελοι: Χρησιμοποιείτε φακέλους μέσα σε ένα στοιχείο για την αποθήκευση και τη διαχείριση δεδομένων, όπως Πίνακες/ ή Αρχεία/.
Τα στοιχεία βρίσκονται πάντα μέσα σε χώρους εργασίας και οι χώροι εργασίας βρίσκονται πάντα απευθείας κάτω από τον χώρο ονομάτων OneLake. Μπορείτε να απεικονίσετε αυτή τη δομή ως εξής:
Δικαιώματα στο OneLake
Αυτή η ενότητα περιγράφει τον τρόπο με τον οποίο τα δικαιώματα στο OneLake διαχειρίζονται την πρόσβαση σε επίπεδο χώρου εργασίας και στοιχείου.
Δικαιώματα χώρου εργασίας
Τα δικαιώματα χώρου εργασίας ορίζουν ποιες ενέργειες μπορούν να κάνουν οι χρήστες εντός ενός χώρου εργασίας και των στοιχείων του. Διαχειριστείτε αυτά τα δικαιώματα σε επίπεδο χώρου εργασίας. Αυτά τα δικαιώματα είναι κυρίως δικαιώματα επιπέδου ελέγχου. Καθορίζουν τις δυνατότητες διαχείρισης και διαχείρισης αντικειμένων, όχι την άμεση πρόσβαση σε δεδομένα. Ωστόσο, τα στοιχεία και οι φάκελοι γενικά κληρονομούν δικαιώματα χώρου εργασίας για την εκχώρηση πρόσβασης σε δεδομένα από προεπιλογή. Τα δικαιώματα χώρου εργασίας καθορίζουν την πρόσβαση σε όλα τα στοιχεία εντός αυτού του χώρου εργασίας.
Οι τέσσερις διαφορετικοί ρόλοι χώρου εργασίας παρέχουν διαφορετικούς τύπους πρόσβασης. Ο παρακάτω πίνακας παραθέτει τις προεπιλεγμένες συμπεριφορές κάθε ρόλου χώρου εργασίας:
| Role | Μπορείτε να προσθέσετε διαχειριστές; | Μπορούν να προσθέσουν μέλη; | Μπορείτε να επεξεργαστείτε την ασφάλεια OneLake; | Μπορεί να κάνει εγγραφή δεδομένων και να δημιουργεί στοιχεία; | Μπορείτε να διαβάσετε δεδομένα στο OneLake; | Μπορείτε να ενημερώσετε και να διαγράψετε τον χώρο εργασίας; |
|---|---|---|---|---|---|---|
| Admin | Yes | Yes | Yes | Yes | Yes | Yes |
| Member | No | Yes | Yes | Yes | Yes | No |
| Contributor | No | No | No | Yes | Yes | No |
| Viewer | No | No | No | No | No* | No |
* Μπορείτε να δώσετε στους θεατές πρόσβαση σε δεδομένα χρησιμοποιώντας ρόλους ασφαλείας OneLake.
Μάθετε περισσότερα σχετικά με τους ρόλους σε χώρους εργασίας στο Microsoft Fabric.
Απλοποιήστε τη διαχείριση των ρόλων χώρου εργασίας Fabric αναθέτοντάς τους σε ομάδες ασφαλείας. Αυτή η μέθοδος σάς επιτρέπει να ελέγχετε την πρόσβαση προσθέτοντας ή καταργώντας μέλη από την ομάδα ασφαλείας.
Δικαιώματα στοιχείου
Χρησιμοποιώντας τη δυνατότητα κοινής χρήσης , μπορείτε να δώσετε σε έναν χρήστη άμεση πρόσβαση σε ένα στοιχείο. Ο χρήστης μπορεί να δει μόνο αυτό το στοιχείο στον χώρο εργασίας και δεν είναι μέλος οποιωνδήποτε ρόλων χώρου εργασίας. Τα δικαιώματα στοιχείου εκχωρούν πρόσβαση για σύνδεση σε αυτό το στοιχείο και σε οποιοδήποτε από τα τελικά σημεία του στα οποία μπορεί να έχει πρόσβαση ο χρήστης.
| Permission | Βλέπετε τα μετα-δεδομένα του στοιχείου; | Βλέπετε δεδομένα στην SQL; | Βλέπετε δεδομένα στο OneLake; |
|---|---|---|---|
| Read | Yes | No | No |
| ReadData | No | Yes | No |
| ReadAll | No | No | Yes* |
* Δεν ισχύει για στοιχεία με ενεργοποιημένη την ασφάλεια OneLake . Εάν είναι ενεργοποιημένη η ασφάλεια OneLake, το ReadAll εκχωρεί πρόσβαση μόνο εάν χρησιμοποιείται ο ρόλος DefaultReader. Εάν ο ρόλος DefaultReader υποστεί επεξεργασία ή διαγραφή, η πρόσβαση παραχωρείται με βάση τους ρόλους πρόσβασης στα δεδομένα στους οποίους ανήκει ο χρήστης.
Ένας άλλος τρόπος για να ρυθμίσετε τις παραμέτρους των δικαιωμάτων είναι μέσω της σελίδας Διαχείριση δικαιωμάτων ενός στοιχείου. Χρησιμοποιώντας αυτήν τη σελίδα, μπορείτε να προσθέσετε ή να καταργήσετε δικαιώματα μεμονωμένου στοιχείου για χρήστες ή ομάδες. Ο τύπος στοιχείου καθορίζει τα δικαιώματα που είναι διαθέσιμα.
Ασφάλεια OneLake (προεπισκόπηση)
Η ασφάλεια OneLake σάς επιτρέπει να ορίσετε λεπτομερή ασφάλεια βάσει ρόλων για δεδομένα που είναι αποθηκευμένα στο OneLake και να επιβάλλετε αυτήν την ασφάλεια με συνέπεια σε όλους τους μηχανισμούς υπολογιστικής λειτουργίας στο Fabric. Η ασφάλεια OneLake είναι το μοντέλο ασφάλειας επιπέδου δεδομένων για δεδομένα στο OneLake.
Οι χρήστες Fabric στους ρόλους Διαχειριστή ή Μέλους μπορούν να δημιουργήσουν ρόλους ασφαλείας OneLake για να εκχωρήσουν στους χρήστες πρόσβαση σε δεδομένα μέσα σε ένα στοιχείο. Κάθε ρόλος έχει τέσσερα στοιχεία:
- Δεδομένα: Οι πίνακες ή οι φάκελοι στους οποίους μπορούν να έχουν πρόσβαση οι χρήστες.
- Άδεια: Τα δικαιώματα που έχουν οι χρήστες στα δεδομένα.
- Μέλη: Οι χρήστες που είναι μέλη του ρόλου.
- Περιορισμοί: Τα στοιχεία των δεδομένων, εάν υπάρχουν, που εξαιρούνται από την πρόσβαση σε ρόλους, όπως συγκεκριμένες γραμμές ή στήλες.
Οι ρόλοι ασφαλείας OneLake εκχωρούν πρόσβαση σε δεδομένα για χρήστες στον ρόλο χώρου εργασίας θεατή ή με δικαίωμα ανάγνωσης στο στοιχείο. Οι διαχειριστές, τα μέλη και οι συμβάλλοντες δεν επηρεάζονται από τους ρόλους ασφαλείας του OneLake και μπορούν να διαβάσουν και να γράψουν όλα τα δεδομένα σε ένα στοιχείο, ανεξάρτητα από τη συμμετοχή τους στο ρόλο. Ένας ρόλος DefaultReader υπάρχει σε όλα τα lakehouses και παρέχει σε οποιονδήποτε χρήστη με το δικαίωμα ReadAll πρόσβαση σε δεδομένα στο lakehouse. Μπορείτε να διαγράψετε ή να επεξεργαστείτε τον ρόλο DefaultReader για να καταργήσετε αυτήν την πρόσβαση.
Μάθετε περισσότερα σχετικά με τη δημιουργία ρόλων ασφαλείας OneLake για πίνακες και φακέλους, στήλεςκαι γραμμές .
Μάθετε περισσότερα σχετικά με το μοντέλο ελέγχου πρόσβασης για την ασφάλεια OneLake.
Υπολογιστικά δικαιώματα
Τα δικαιώματα υπολογιστικής λειτουργίας είναι ένας τύπος δικαιώματος επιπέδου δεδομένων που ισχύει για έναν συγκεκριμένο μηχανισμό ερωτημάτων στο Microsoft Fabric. Η πρόσβαση που εκχωρείται ισχύει μόνο για ερωτήματα που εκτελούνται στον συγκεκριμένο μηχανισμό, όπως το τελικό σημείο SQL ή ένα μοντέλο σημασιολογίας Power BI. Ανάλογα με τα δικαιώματα υπολογισμού, οι χρήστες ενδέχεται να βλέπουν διαφορετικά αποτελέσματα όταν έχουν πρόσβαση σε δεδομένα μέσω μιας υπολογιστικής μηχανής σε σύγκριση με όταν έχουν πρόσβαση σε δεδομένα απευθείας στο OneLake.
Χρησιμοποιήστε την ασφάλεια OneLake για να ασφαλίσετε δεδομένα στο OneLake αντί για υπολογιστικά δικαιώματα. Η ασφάλεια OneLake εξασφαλίζει συνεπή αποτελέσματα σε όλους τους μηχανισμούς με τους οποίους μπορεί να αλληλεπιδράσει ένας χρήστης.
Οι υπολογιστικές μηχανές ενδέχεται να έχουν πιο προηγμένες δυνατότητες ασφαλείας που δεν είναι διαθέσιμες στην ασφάλεια OneLake. Σε αυτήν την περίπτωση, ορισμένα σενάρια ενδέχεται να απαιτούν τη χρήση των δικαιωμάτων υπολογισμού. Όταν χρησιμοποιείτε δικαιώματα υπολογιστικής λειτουργίας για την ασφαλή πρόσβαση σε δεδομένα, βεβαιωθείτε ότι εκχωρείτε στους τελικούς χρήστες πρόσβαση μόνο στον μηχανισμό υπολογιστικής λειτουργίας όπου έχει οριστεί η ασφάλεια. Αυτή η βέλτιστη πρακτική αποτρέπει την πρόσβαση σε δεδομένα μέσω διαφορετικής μηχανής χωρίς τα απαραίτητα χαρακτηριστικά ασφαλείας.
Ασφάλεια συντόμευσης
Οι συντομεύσεις στο Microsoft Fabric απλοποιούν τη διαχείριση δεδομένων. Η ασφάλεια φακέλων OneLake ισχύει για συντομεύσεις OneLake με βάση τους ρόλους που ορίζονται στο lakehouse όπου είναι αποθηκευμένα τα δεδομένα.
Για περισσότερες πληροφορίες σχετικά με ζητήματα ασφάλειας συντομεύσεων, ανατρέξτε στο θέμα Συντομεύσεις μοντέλου > ελέγχου πρόσβασης ασφαλείας OneLake.
Για πληροφορίες σχετικά με τις λεπτομέρειες πρόσβασης και ελέγχου ταυτότητας για συγκεκριμένες συντομεύσεις, ανατρέξτε στο θέμα τύποι συντομεύσεων OneLake.
Authentication
Το OneLake χρησιμοποιεί το Microsoft Entra ID για έλεγχο ταυτότητας. Χρησιμοποιήστε το για να εκχωρήσετε δικαιώματα σε ταυτότητες χρηστών και κύριες υπηρεσίες. Το OneLake εξάγει αυτόματα την ταυτότητα χρήστη από εργαλεία που χρησιμοποιούν έλεγχο ταυτότητας Microsoft Entra και την αντιστοιχίζει στα δικαιώματα που ορίζετε στην πύλη Fabric.
Note
Για να χρησιμοποιήσει τις οντότητες υπηρεσίας σε έναν μισθωτή Fabric, ένας διαχειριστής μισθωτή πρέπει να ενεργοποιήσει τα κύρια ονόματα υπηρεσίας (SPN) για ολόκληρο τον μισθωτή ή συγκεκριμένες ομάδες ασφάλειας. Μάθετε περισσότερα σχετικά με την ενεργοποίηση των οντοτήτων υπηρεσίας στο θέμα Ρυθμίσεις προγραμματιστή της πύλης διαχειριστή μισθωτή.
Αρχεία καταγραφής ελέγχου
Για να προβάλετε τα αρχεία καταγραφής ελέγχου OneLake, ακολουθήστε τις οδηγίες στην ενότητα Παρακολούθηση δραστηριοτήτων χρηστών στο Microsoft Fabric. Τα ονόματα λειτουργιών OneLake αντιστοιχούν σε API ADLS, όπως CreateFile ή DeleteFile. Τα αρχεία καταγραφής ελέγχου OneLake δεν περιλαμβάνουν αιτήσεις ανάγνωσης ή αιτήσεις που υποβάλλονται στο OneLake μέσω φόρτων εργασίας Fabric.
Κρυπτογράφηση και δικτύωση
Αδρανή δεδομένα
Τα δεδομένα που είναι αποθηκευμένα στο OneLake κρυπτογραφούνται σε κατάσταση αδράνειας από προεπιλογή χρησιμοποιώντας κλειδιά που διαχειρίζεται η Microsoft. Τα διαχειριζόμενα από τη Microsoft κλειδιά περιστρέφονται κατάλληλα. Το OneLake κρυπτογραφεί και αποκρυπτογραφεί τα δεδομένα με διαφάνεια και είναι συμβατό με το FIPS 140-2.
Μπορείτε να χρησιμοποιήσετε την κρυπτογράφηση σε αδράνεια χρησιμοποιώντας κλειδιά διαχειριζόμενα από τον πελάτη για να προσθέσετε ένα άλλο επίπεδο προστασίας, χρησιμοποιώντας κλειδιά που σας ανήκουν και ελέγχετε. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Κλειδιά διαχειριζόμενα από τον πελάτη για χώρους εργασίας Fabric.
Δεδομένα σε διαμετακόμιση
Τα δεδομένα που μεταφέρονται μέσω του δημόσιου Internet μεταξύ των υπηρεσιών της Microsoft κρυπτογραφούνται πάντα με χρήση τουλάχιστον TLS 1.2. Το Fabric διαπραγματεύεται στο TLS 1.3 όποτε αυτό είναι εφικτό. Η κυκλοφορία μεταξύ των υπηρεσιών της Microsoft δρομολογεί πάντα μέσω του καθολικού δικτύου της Microsoft.
Η εισερχόμενη επικοινωνία OneLake επιβάλλει επίσης το TLS 1.2 και διαπραγματεύεται στο TLS 1.3 όποτε αυτό είναι εφικτό. Η εξερχόμενη επικοινωνία Fabric με την υποδομή που ανήκει στον πελάτη προτιμά τα ασφαλή πρωτόκολλα, αλλά μπορεί να επιστρέψει στα παλαιότερα, μη ασφαλή πρωτόκολλα (συμπεριλαμβανομένου του TLS 1.0) όταν δεν υποστηρίζονται νεότερα πρωτόκολλα.
Ιδιωτικές συνδέσεις
Για να ρυθμίσετε τις παραμέτρους ιδιωτικών συνδέσεων στο Fabric, ανατρέξτε στο θέμα Ρύθμιση και χρήση ιδιωτικών συνδέσεων.
Να επιτρέπεται σε εφαρμογές που εκτελούνται εκτός του Fabric να αποκτούν πρόσβαση σε δεδομένα μέσω OneLake
Μπορείτε να επιτρέψετε ή να περιορίσετε την πρόσβαση σε δεδομένα OneLake από εφαρμογές που βρίσκονται εκτός του περιβάλλοντος Fabric. Οι διαχειριστές μπορούν να βρουν αυτήν τη ρύθμιση στην ενότητα OneLake των ρυθμίσεων μισθωτή πύλης διαχείρισης.
Όταν ενεργοποιείτε αυτήν τη ρύθμιση, οι χρήστες μπορούν να έχουν πρόσβαση σε δεδομένα από όλες τις προελεύσεις. Για παράδειγμα, ενεργοποιήστε αυτήν τη ρύθμιση εάν έχετε προσαρμοσμένες εφαρμογές που χρησιμοποιούν API Azure Data Lake Storage (ADLS) ή εξερεύνηση αρχείων OneLake. Όταν απενεργοποιείτε αυτήν τη ρύθμιση, οι χρήστες εξακολουθούν να έχουν πρόσβαση σε δεδομένα από εσωτερικές εφαρμογές όπως τα Spark, Data Engineering και Data Warehouse, αλλά δεν έχουν πρόσβαση σε δεδομένα από εφαρμογές που εκτελούνται εκτός των περιβαλλόντων Fabric.