Σημείωση
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να συνδεθείτε ή να αλλάξετε καταλόγους.
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να αλλάξετε καταλόγους.
Το OneLake είναι μια ιεραρχική λίμνη δεδομένων, όπως το Azure Data Lake Storage (ADLS) Gen2 ή το σύστημα αρχείων των Windows. Η ασφάλεια στο OneLake επιβάλλεται σε πολλαπλά επίπεδα, καθένα από τα οποία αντιστοιχεί σε διαφορετικές πτυχές της πρόσβασης και του ελέγχου. Η κατανόηση της διάκρισης μεταξύ των δικαιωμάτων επιπέδου ελέγχου και επιπέδου δεδομένων είναι σημαντική για την αποτελεσματική ασφάλεια των δεδομένων σας:
- Έλεγχος δικαιωμάτων επιπέδου: Διαχειριστείτε τις ενέργειες που μπορούν να εκτελέσουν οι χρήστες εντός του περιβάλλοντος (π.χ. δημιουργία, διαχείριση ή κοινή χρήση στοιχείων). Τα δικαιώματα επιπέδου ελέγχου συχνά παρέχουν δικαιώματα επιπέδου δεδομένων από προεπιλογή.
- Δικαιώματα επιπέδου δεδομένων: Διαχειριστείτε ποια δεδομένα μπορούν να έχουν πρόσβαση ή προβολή οι χρήστες, ανεξάρτητα από τη δυνατότητά τους να διαχειρίζονται πόρους.
Μπορείτε να ορίσετε ασφάλεια σε κάθε επίπεδο εντός της λίμνης δεδομένων. Ωστόσο, σε ορισμένα επίπεδα στην ιεραρχία δίνεται ειδική μεταχείριση, επειδή συσχετίζονται με τις έννοιες fabric. Η ασφάλεια OneLake ελέγχει κάθε πρόσβαση σε δεδομένα OneLake με διαφορετικά δικαιώματα που μεταβιβάζονται από τα δικαιώματα γονικού στοιχείου ή χώρου εργασίας. Μπορείτε να ορίσετε δικαιώματα στα ακόλουθα επίπεδα:
Χώρος εργασίας: Ένα συνεργατικό περιβάλλον για τη δημιουργία και τη διαχείριση αντικειμένων. Η διαχείριση της ασφάλειας γίνεται μέσω ρόλων χώρου εργασίας σε αυτό το επίπεδο.
Στοιχείο: Ένα σύνολο δυνατοτήτων ομαδοποιημένων σε ένα μόνο στοιχείο. Ένα στοιχείο δεδομένων είναι ένας δευτερεύοντας τύπος στοιχείου που επιτρέπει την αποθήκευση δεδομένων σε αυτό με χρήση του OneLake. Τα στοιχεία μεταβιβάζονται δικαιώματα από τους ρόλους χώρου εργασίας, αλλά μπορούν επίσης να έχουν πρόσθετα δικαιώματα.
Φάκελοι: Φάκελοι μέσα σε ένα στοιχείο που χρησιμοποιούνται για την αποθήκευση και τη διαχείριση δεδομένων, όπως Πίνακες/ ή Αρχεία/.
Τα στοιχεία βρίσκονται πάντα μέσα σε χώρους εργασίας και χώρους εργασίας που βρίσκονται πάντα απευθείας κάτω από τον χώρο ονομάτων OneLake. Μπορείτε να απεικονίσετε αυτή τη δομή ως εξής:
Ασφάλεια στο OneLake
Αυτή η ενότητα περιγράφει το μοντέλο ασφαλείας που βασίζεται στις γενικά διαθέσιμες δυνατότητες του OneLake.
Δικαιώματα χώρου εργασίας
Τα δικαιώματα χώρου εργασίας ορίζουν ποιες ενέργειες μπορούν να κάνουν οι χρήστες εντός ενός χώρου εργασίας και των στοιχείων του. Η διαχείριση αυτών των δικαιωμάτων πραγματοποιείται σε επίπεδο χώρου εργασίας και κυρίως ελέγχουν τα δικαιώματα επιπέδου. καθορίζουν τις δυνατότητες διαχείρισης και διαχείρισης στοιχείων, όχι την άμεση πρόσβαση στα δεδομένα. Ωστόσο, τα δικαιώματα χώρου εργασίας γενικά μεταβιβάζονται στο επίπεδο στοιχείου και φακέλου για την εκχώρηση πρόσβασης σε δεδομένα από προεπιλογή. Τα δικαιώματα χώρου εργασίας επιτρέπουν τον ορισμό πρόσβασης σε όλα τα στοιχεία εντός του συγκεκριμένου χώρου εργασίας. Υπάρχουν τέσσερις διαφορετικοί ρόλοι χώρου εργασίας, κάθε ένας από τους οποίους εκχωρεί διαφορετικούς τύπους πρόσβασης. Ακολουθούν οι προεπιλεγμένες συμπεριφορές κάθε ρόλου χώρου εργασίας.
| Role | Μπορείτε να προσθέσετε διαχειριστές; | Μπορούν να προσθέσουν μέλη; | Μπορείτε να επεξεργαστείτε την ασφάλεια OneLake; | Μπορεί να κάνει εγγραφή δεδομένων και να δημιουργεί στοιχεία; | Μπορείτε να διαβάσετε δεδομένα στο OneLake; | Ενημερώστε και διαγράψτε τον χώρο εργασίας. |
|---|---|---|---|---|---|---|
| Admin | Yes | Yes | Yes | Yes | Yes | Yes |
| Member | No | Yes | Yes | Yes | Yes | No |
| Contributor | No | No | No | Yes | Yes | No |
| Viewer | No | No | No | No | No* | No |
Μάθετε περισσότερα σχετικά με τους ρόλους σε χώρους εργασίας στο Microsoft Fabric.
Note
*Οι θεατές μπορούν να έχουν πρόσβαση σε δεδομένα μέσω ρόλων ασφαλείας OneLake.
Μπορείτε να απλοποιήσετε τη διαχείριση των ρόλων χώρου εργασίας Fabric εκχωρώντας τους σε ομάδες ασφαλείας. Αυτή η μέθοδος σάς επιτρέπει να ελέγχετε την πρόσβαση προσθέτοντας ή καταργώντας μέλη από την ομάδα ασφαλείας.
Δικαιώματα στοιχείου
Με τη δυνατότητα κοινής χρήσης , μπορείτε να δώσετε σε έναν χρήστη άμεση πρόσβαση σε ένα στοιχείο. Ο χρήστης μπορεί να δει μόνο αυτό το στοιχείο στον χώρο εργασίας και δεν είναι μέλος οποιωνδήποτε ρόλων χώρου εργασίας. Τα δικαιώματα στοιχείων εκχωρούν πρόσβαση για σύνδεση με αυτό το στοιχείο και τα τελικά σημεία του στα οποία μπορεί να έχει πρόσβαση ο χρήστης.
| Permission | Βλέπετε τα μετα-δεδομένα του στοιχείου; | Βλέπετε δεδομένα στην SQL; | Βλέπετε δεδομένα στο OneLake; |
|---|---|---|---|
| Read | Yes | No | No |
| ReadData | No | Yes | No |
| ReadAll | No | No | Yes* |
*Δεν ισχύει για στοιχεία με ενεργοποιημένους ρόλους ασφάλειας ή πρόσβασης δεδομένων OneLake . Εάν η προεπισκόπηση είναι ενεργοποιημένη, η συνάρτηση ReadAll εκχωρεί πρόσβαση μόνο εάν χρησιμοποιείται ο ρόλος DefaultReader. Εάν ο ρόλος DefaultReader υποστεί επεξεργασία ή διαγραφή, η πρόσβαση παραχωρείται με βάση τους ρόλους πρόσβασης στα δεδομένα στους οποίους ανήκει ο χρήστης.
Ένας άλλος τρόπος για να ρυθμίσετε τις παραμέτρους των δικαιωμάτων είναι μέσω της σελίδας Διαχείριση δικαιωμάτων ενός στοιχείου. Χρησιμοποιώντας αυτήν τη σελίδα, μπορείτε να προσθέσετε ή να καταργήσετε δικαιώματα μεμονωμένου στοιχείου για χρήστες ή ομάδες. Ο τύπος στοιχείου καθορίζει τα δικαιώματα που είναι διαθέσιμα.
Ασφάλεια OneLake (προεπισκόπηση)
Η ασφάλεια OneLake επιτρέπει στους χρήστες να ορίζουν λεπτομερή ασφάλεια βάσει ρόλων σε δεδομένα που είναι αποθηκευμένα σε OneLake και να επιβάλλουν αυτήν την ασφάλεια με συνέπεια σε όλους τους μηχανισμούς υπολογιστικής λειτουργίας στο Fabric. Η ασφάλεια OneLake είναι το μοντέλο ασφάλειας επιπέδου δεδομένων για δεδομένα στο OneLake.
Οι χρήστες Fabric στους ρόλους Διαχειριστή ή Μέλους μπορούν να δημιουργήσουν ρόλους ασφαλείας OneLake για να εκχωρήσουν στους χρήστες πρόσβαση σε δεδομένα μέσα σε ένα στοιχείο. Κάθε ρόλος έχει τέσσερα στοιχεία:
- Δεδομένα: Οι πίνακες ή οι φάκελοι στους οποίους μπορούν να έχουν πρόσβαση οι χρήστες.
- Άδεια: Τα δικαιώματα που έχουν οι χρήστες στα δεδομένα.
- Μέλη: Οι χρήστες που είναι μέλη του ρόλου.
- Περιορισμοί: Τα στοιχεία των δεδομένων, εάν υπάρχουν, που εξαιρούνται από την πρόσβαση σε ρόλους, όπως συγκεκριμένες γραμμές ή στήλες.
Οι ρόλοι ασφαλείας OneLake εκχωρούν πρόσβαση σε δεδομένα για χρήστες στον ρόλο χώρου εργασίας θεατή ή με δικαίωμα ανάγνωσης στο στοιχείο. Οι διαχειριστές, τα μέλη και οι συμβάλλοντες δεν επηρεάζονται από ρόλους ασφαλείας OneLake και μπορούν να διαβάζουν και να γράφουν όλα τα δεδομένα σε ένα στοιχείο ανεξάρτητα από τη συμμετοχή τους στον ρόλο. Υπάρχει ένας ρόλος DefaultReader σε όλες τις λίμνες που παρέχει σε οποιονδήποτε χρήστη με δικαίωμα ReadAll πρόσβαση σε δεδομένα στο lakehouse. Μπορείτε να διαγράψετε ή να επεξεργαστείτε τον ρόλο DefaultReader για να καταργήσετε αυτήν την πρόσβαση.
Μάθετε περισσότερα σχετικά με τη δημιουργία ρόλων ασφαλείας OneLake για πίνακες και φακέλους, στήλεςκαι γραμμές .
Μάθετε περισσότερα σχετικά με το μοντέλο ελέγχου πρόσβασης για την ασφάλεια OneLake..
Υπολογιστικά δικαιώματα
Τα δικαιώματα υπολογιστικής λειτουργίας είναι ένας τύπος δικαιώματος επιπέδου δεδομένων που ισχύει για έναν συγκεκριμένο μηχανισμό ερωτημάτων στο Microsoft Fabric. Η πρόσβαση που εκχωρείται ισχύει μόνο για ερωτήματα που εκτελούνται στον συγκεκριμένο μηχανισμό, όπως το τελικό σημείο SQL ή ένα μοντέλο σημασιολογίας Power BI. Ωστόσο, οι χρήστες μπορεί να βλέπουν διαφορετικά αποτελέσματα όταν αποκτούν πρόσβαση σε δεδομένα μέσω μιας μηχανής υπολογιστικής λειτουργίας σε σύγκριση με τη στιγμή που αποκτούν πρόσβαση σε δεδομένα απευθείας στο OneLake, ανάλογα με τα δικαιώματα υπολογιστικής λειτουργίας που εφαρμόζονται. Η ασφάλεια OneLake είναι η συνιστώμενη προσέγγιση για την ασφάλεια των δεδομένων στο OneLake για τη διασφάλιση συνεπών αποτελεσμάτων σε όλους τους μηχανισμούς με τους οποίους μπορεί να αλληλεπιδράσει ένας χρήστης.
Οι υπολογιστικές μηχανές ενδέχεται να έχουν πιο προηγμένες δυνατότητες ασφαλείας που δεν είναι ακόμη διαθέσιμες στην ασφάλεια OneLake και, σε αυτήν την περίπτωση, ενδέχεται να απαιτείται η χρήση των υπολογιστικών δικαιωμάτων για την επίλυση ορισμένων σεναρίων. Όταν χρησιμοποιείτε υπολογιστικά δικαιώματα για να εξασφαλίσετε την πρόσβαση σε δεδομένα, βεβαιωθείτε ότι οι τελικοί χρήστες έχουν πρόσβαση μόνο στον μηχανισμό υπολογιστικής λειτουργίας όπου έχει οριστεί η ασφάλεια. Αυτό αποτρέπει την πρόσβαση στα δεδομένα μέσω διαφορετικού μηχανισμού χωρίς τα απαραίτητα χαρακτηριστικά ασφαλείας.
Ασφάλεια συντόμευσης
Οι συντομεύσεις στο Microsoft Fabric επιτρέπουν απλοποιημένη διαχείριση δεδομένων. Η ασφάλεια φακέλων OneLake ισχύει για συντομεύσεις OneLake με βάση τους ρόλους που ορίζονται στο lakehouse όπου είναι αποθηκευμένα τα δεδομένα.
Για περισσότερες πληροφορίες σχετικά με ζητήματα ασφάλειας συντομεύσεων, ανατρέξτε στο θέμα Μοντέλο ελέγχου πρόσβασης ασφαλείας OneLake.
Για πληροφορίες σχετικά με τις λεπτομέρειες πρόσβασης και ελέγχου ταυτότητας για συγκεκριμένες συντομεύσεις, ανατρέξτε στο θέμα τύποι συντομεύσεων OneLake.
Authentication
Το OneLake χρησιμοποιεί το αναγνωριστικό Microsoft Entra για τον έλεγχο ταυτότητας. Μπορείτε να το χρησιμοποιήσετε για να εκχωρήσετε δικαιώματα σε ταυτότητες χρηστών και οντότητες υπηρεσίας. Το OneLake εξάγει αυτόματα την ταυτότητα χρήστη από εργαλεία, τα οποία χρησιμοποιούν τον έλεγχο ταυτότητας Microsoft Entra και τον αντιστοιχίζει στα δικαιώματα που ορίσατε στην πύλη Fabric.
Note
Για να χρησιμοποιήσει τις οντότητες υπηρεσίας σε έναν μισθωτή Fabric, ένας διαχειριστής μισθωτή πρέπει να ενεργοποιήσει τα κύρια ονόματα υπηρεσίας (SPN) για ολόκληρο τον μισθωτή ή συγκεκριμένες ομάδες ασφάλειας. Μάθετε περισσότερα σχετικά με την ενεργοποίηση των οντοτήτων υπηρεσίας στο θέμα Ρυθμίσεις προγραμματιστή της πύλης διαχειριστή μισθωτή.
Αρχεία καταγραφής ελέγχου
Για να προβάλετε τα αρχεία καταγραφής ελέγχου OneLake, ακολουθήστε τις οδηγίες στην ενότητα Παρακολούθηση δραστηριοτήτων χρηστών στο Microsoft Fabric. Τα ονόματα λειτουργιών OneLake αντιστοιχούν σε API ADLS, όπως CreateFile ή DeleteFile. Τα αρχεία καταγραφής ελέγχου OneLake δεν περιλαμβάνουν αιτήσεις ανάγνωσης ή αιτήσεις που υποβάλλονται στο OneLake μέσω φόρτων εργασίας Fabric.
Κρυπτογράφηση και δικτύωση
Αδρανή δεδομένα
Τα δεδομένα που είναι αποθηκευμένα στο OneLake κρυπτογραφούνται σε κατάσταση αδράνειας από προεπιλογή χρησιμοποιώντας κλειδιά διαχειριζόμενα από τη Microsoft. Τα διαχειριζόμενα από τη Microsoft κλειδιά περιστρέφονται κατάλληλα. Τα δεδομένα στο OneLake κρυπτογραφούνται και αποκρυπτογραφούνται με διαφανή τρόπο και είναι συμβατά με FIPS 140-2.
Μπορείτε να χρησιμοποιήσετε την κρυπτογράφηση σε αδράνεια χρησιμοποιώντας κλειδιά διαχειριζόμενα από τον πελάτη για να προσθέσετε ένα άλλο επίπεδο προστασίας χρησιμοποιώντας κλειδιά που κατέχετε και ελέγχετε. Για να μάθετε περισσότερα, ανατρέξτε στο θέμα Κλειδιά διαχειριζόμενα από τον πελάτη για χώρους εργασίας Fabric.
Δεδομένα σε διαμετακόμιση
Τα δεδομένα που μεταφέρονται μέσω του δημόσιου Internet μεταξύ των υπηρεσιών της Microsoft κρυπτογραφούνται πάντα με τουλάχιστον TLS 1.2. Το Fabric διαπραγματεύεται στο TLS 1.3 όποτε αυτό είναι εφικτό. Η κυκλοφορία μεταξύ των υπηρεσιών της Microsoft δρομολογεί πάντα μέσω του καθολικού δικτύου της Microsoft.
Η εισερχόμενη επικοινωνία OneLake επιβάλλει επίσης το TLS 1.2 και διαπραγματεύεται στο TLS 1.3 όποτε αυτό είναι εφικτό. Η εξερχόμενη επικοινωνία Fabric με την υποδομή που ανήκει στον πελάτη προτιμά τα ασφαλή πρωτόκολλα, αλλά μπορεί να επιστρέψει στα παλαιότερα, μη ασφαλή πρωτόκολλα (συμπεριλαμβανομένου του TLS 1.0) όταν δεν υποστηρίζονται νεότερα πρωτόκολλα.
Ιδιωτικές συνδέσεις
Για να ρυθμίσετε τις παραμέτρους ιδιωτικών συνδέσεων στο Fabric, ανατρέξτε στο θέμα Ρύθμιση και χρήση ιδιωτικών συνδέσεων.
Να επιτρέπεται σε εφαρμογές που εκτελούνται εκτός του Fabric να αποκτούν πρόσβαση σε δεδομένα μέσω OneLake
Μπορείτε να επιτρέψετε ή να περιορίσετε την πρόσβαση σε δεδομένα OneLake από εφαρμογές που βρίσκονται εκτός του περιβάλλοντος Fabric. Οι διαχειριστές μπορούν να βρουν αυτήν τη ρύθμιση στην ενότητα OneLake των ρυθμίσεων μισθωτή πύλης διαχείρισης.
Όταν ενεργοποιείτε αυτήν τη ρύθμιση, οι χρήστες μπορούν να έχουν πρόσβαση σε δεδομένα από όλες τις προελεύσεις. Για παράδειγμα, ενεργοποιήστε αυτήν τη ρύθμιση εάν έχετε προσαρμοσμένες εφαρμογές που χρησιμοποιούν API Azure Data Lake Storage (ADLS) ή εξερεύνηση αρχείων OneLake. Όταν απενεργοποιείτε αυτήν τη ρύθμιση, οι χρήστες εξακολουθούν να έχουν πρόσβαση σε δεδομένα από εσωτερικές εφαρμογές όπως τα Spark, Data Engineering και Data Warehouse, αλλά δεν έχουν πρόσβαση σε δεδομένα από εφαρμογές που εκτελούνται εκτός των περιβαλλόντων Fabric.