Σημείωμα
Η πρόσβαση σε αυτήν τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να εισέλθετε ή να αλλάξετε καταλόγους.
Η πρόσβαση σε αυτήν τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να αλλάξετε καταλόγους.
Το OneLake είναι μια ιεραρχική λίμνη δεδομένων, όπως το Azure Data Lake Storage (ADLS) Gen2 ή το σύστημα αρχείων των Windows. Η ασφάλεια στο OneLake επιβάλλεται τόσο στο επίπεδο ελέγχου όσο και στο επίπεδο δεδομένων:
- Δικαιώματα επιπέδου ελέγχου: Διαχειριστείτε τις ενέργειες που μπορούν να εκτελέσουν οι χρήστες εντός του περιβάλλοντος, όπως η δημιουργία, η διαχείριση ή η κοινή χρήση στοιχείων. Τα δικαιώματα επιπέδου ελέγχου συχνά παρέχουν δικαιώματα επιπέδου δεδομένων από προεπιλογή.
- Δικαιώματα επιπέδου δεδομένων: Διαχειριστείτε ποια δεδομένα μπορούν να έχουν πρόσβαση ή προβολή οι χρήστες, ανεξάρτητα από τη δυνατότητά τους να διαχειρίζονται πόρους. Για το OneLake, αυτό αναφέρεται στην ασφάλεια OneLake.
Μπορείτε να ορίσετε ασφάλεια σε κάθε επίπεδο εντός της λίμνης δεδομένων. Ωστόσο, ορισμένα επίπεδα στην ιεραρχία τυγχάνουν ειδικής μεταχείρισης επειδή συσχετίζονται με τις έννοιες του Fabric. Η ασφάλεια OneLake ελέγχει όλη την πρόσβαση στα δεδομένα OneLake με δικαιώματα που μεταβιβάζονται από το γονικό στοιχείο ή χώρο εργασίας. Μπορείτε να ορίσετε δικαιώματα στα ακόλουθα επίπεδα:
Χώρος εργασίας: Ένα συνεργατικό περιβάλλον για τη δημιουργία και τη διαχείριση αντικειμένων. Μπορείτε να διαχειριστείτε την ασφάλεια μέσω ρόλων χώρου εργασίας σε αυτό το επίπεδο.
Στοιχείο: Ένα σύνολο δυνατοτήτων ομαδοποιημένων σε ένα μόνο στοιχείο. Ένα στοιχείο δεδομένων είναι ένας δευτερεύων τύπος στοιχείου που επιτρέπει την αποθήκευση δεδομένων μέσα σε αυτό χρησιμοποιώντας το OneLake, όπως μια λίμνη, μια αποθήκη ή μια βάση δεδομένων SQL. Τα στοιχεία κληρονομούν δικαιώματα από τους ρόλους του χώρου εργασίας, αλλά μπορούν επίσης να έχουν πρόσθετα δικαιώματα.
Φάκελοι: Χρησιμοποιείτε φακέλους μέσα σε ένα στοιχείο για την αποθήκευση και τη διαχείριση δεδομένων, όπως Πίνακες/ ή Αρχεία/.
Τα στοιχεία βρίσκονται πάντα μέσα σε χώρους εργασίας και οι χώροι εργασίας βρίσκονται πάντα απευθείας κάτω από τον χώρο ονομάτων OneLake. Μπορείτε να απεικονίσετε αυτή τη δομή ως εξής:
Δικαιώματα στο OneLake
Αυτή η ενότητα περιγράφει τον τρόπο με τον οποίο τα δικαιώματα στο OneLake διαχειρίζονται την πρόσβαση σε επίπεδο χώρου εργασίας και στοιχείου.
Δικαιώματα χώρου εργασίας
Τα δικαιώματα χώρου εργασίας ορίζουν ποιες ενέργειες μπορούν να κάνουν οι χρήστες εντός ενός χώρου εργασίας και των στοιχείων του. Διαχειριστείτε αυτά τα δικαιώματα σε επίπεδο χώρου εργασίας. Αυτά τα δικαιώματα είναι κυρίως δικαιώματα επιπέδου ελέγχου. Καθορίζουν τις δυνατότητες διαχείρισης και διαχείρισης αντικειμένων, όχι την άμεση πρόσβαση σε δεδομένα. Ωστόσο, τα στοιχεία και οι φάκελοι γενικά κληρονομούν δικαιώματα χώρου εργασίας για την εκχώρηση πρόσβασης σε δεδομένα από προεπιλογή. Τα δικαιώματα χώρου εργασίας καθορίζουν την πρόσβαση σε όλα τα στοιχεία εντός αυτού του χώρου εργασίας.
Οι τέσσερις διαφορετικοί ρόλοι χώρου εργασίας παρέχουν διαφορετικούς τύπους πρόσβασης. Ο παρακάτω πίνακας παραθέτει τις προεπιλεγμένες συμπεριφορές κάθε ρόλου χώρου εργασίας:
| Role | Μπορείτε να προσθέσετε διαχειριστές; | Μπορούν να προσθέσουν μέλη; | Μπορείτε να επεξεργαστείτε την ασφάλεια OneLake; | Μπορεί να κάνει εγγραφή δεδομένων και να δημιουργεί στοιχεία; | Μπορείτε να διαβάσετε δεδομένα στο OneLake; | Μπορείτε να ενημερώσετε και να διαγράψετε τον χώρο εργασίας; |
|---|---|---|---|---|---|---|
| Admin | Yes | Yes | Yes | Yes | Yes | Yes |
| Member | No | Yes | Yes | Yes | Yes | No |
| Contributor | No | No | No | Yes | Yes | No |
| Viewer | No | No | No | No | No* | No |
* Μπορείτε να δώσετε στους θεατές πρόσβαση σε δεδομένα χρησιμοποιώντας ρόλους ασφαλείας OneLake.
Μάθετε περισσότερα σχετικά με τους ρόλους σε χώρους εργασίας στο Microsoft Fabric.
Απλοποιήστε τη διαχείριση των ρόλων χώρου εργασίας Fabric αναθέτοντάς τους σε ομάδες ασφαλείας. Αυτή η μέθοδος σάς επιτρέπει να ελέγχετε την πρόσβαση προσθέτοντας ή καταργώντας μέλη από την ομάδα ασφαλείας.
Δικαιώματα στοιχείου
Χρησιμοποιώντας τη δυνατότητα κοινής χρήσης , μπορείτε να δώσετε σε έναν χρήστη άμεση πρόσβαση σε ένα στοιχείο. Ο χρήστης μπορεί να δει μόνο αυτό το στοιχείο στον χώρο εργασίας και δεν είναι μέλος οποιωνδήποτε ρόλων χώρου εργασίας. Τα δικαιώματα στοιχείου εκχωρούν πρόσβαση για σύνδεση σε αυτό το στοιχείο και σε οποιοδήποτε από τα τελικά σημεία του στα οποία μπορεί να έχει πρόσβαση ο χρήστης.
| Permission | Βλέπετε τα μετα-δεδομένα του στοιχείου; | Βλέπετε δεδομένα στην SQL; | Βλέπετε δεδομένα στο OneLake; |
|---|---|---|---|
| Γράψε | Yes | Yes | Yes |
| Read | Yes | No | No |
| ReadData | No | Μόνο σε λειτουργία με ανάθεση | No |
| ReadAll | No | No | Μόνο μέσω του DefaultReader |
Ένας άλλος τρόπος για να ρυθμίσετε τις παραμέτρους των δικαιωμάτων είναι μέσω της σελίδας Διαχείριση δικαιωμάτων ενός στοιχείου. Χρησιμοποιώντας αυτήν τη σελίδα, μπορείτε να προσθέσετε ή να καταργήσετε δικαιώματα μεμονωμένου στοιχείου για χρήστες ή ομάδες. Ο τύπος στοιχείου καθορίζει τα δικαιώματα που είναι διαθέσιμα.
Ασφάλεια OneLake
Η ασφάλεια OneLake σάς επιτρέπει να ορίσετε λεπτομερή ασφάλεια βάσει ρόλων για δεδομένα που είναι αποθηκευμένα στο OneLake και να επιβάλλετε αυτήν την ασφάλεια με συνέπεια σε όλους τους μηχανισμούς υπολογιστικής λειτουργίας στο Fabric. Η ασφάλεια OneLake είναι το μοντέλο ασφάλειας επιπέδου δεδομένων για δεδομένα στο OneLake.
Οι χρήστες Fabric στους ρόλους χώρου εργασίας Διαχειριστής ή Μέλος μπορούν να δημιουργήσουν ρόλους ασφαλείας OneLake για να εκχωρήσουν στους χρήστες πρόσβαση σε δεδομένα μέσα σε ένα στοιχείο. Κάθε ρόλος έχει τέσσερα στοιχεία:
- Δεδομένα: Οι πίνακες ή οι φάκελοι στους οποίους μπορούν να έχουν πρόσβαση οι χρήστες.
- Άδεια: Τα δικαιώματα που έχουν οι χρήστες στα δεδομένα.
- Μέλη: Οι χρήστες που είναι μέλη του ρόλου.
- Περιορισμοί: Τα στοιχεία των δεδομένων, εάν υπάρχουν, που εξαιρούνται από την πρόσβαση σε ρόλους, όπως συγκεκριμένες γραμμές ή στήλες.
Οι ρόλοι ασφαλείας OneLake εκχωρούν πρόσβαση σε δεδομένα για χρήστες στον ρόλο χώρου εργασίας θεατή ή με δικαίωμα ανάγνωσης στο στοιχείο. Οι διαχειριστές, τα μέλη και οι συμβάλλοντες του χώρου εργασίας δεν επηρεάζονται από τους ρόλους ασφαλείας του OneLake και μπορούν να διαβάσουν και να γράψουν όλα τα δεδομένα σε ένα στοιχείο, ανεξάρτητα από την ιδιότητα μέλους του ρόλου τους. Ένας ρόλος DefaultReader υπάρχει σε όλα τα lakehouses και παρέχει σε οποιονδήποτε χρήστη με το δικαίωμα ReadAll πρόσβαση σε δεδομένα στο lakehouse. Μπορείτε να διαγράψετε ή να επεξεργαστείτε τον ρόλο DefaultReader για να καταργήσετε αυτήν την πρόσβαση.
Μάθετε περισσότερα σχετικά με τη δημιουργία ρόλων ασφαλείας OneLake για πίνακες και φακέλους, στήλεςκαι γραμμές .
Μάθετε περισσότερα σχετικά με το μοντέλο ελέγχου πρόσβασης για την ασφάλεια OneLake.
Εξουσιοδοτημένοι κινητήρες και επιβολή από τρίτους
Η ασφάλεια OneLake υποστηρίζει την επιβολή από εξουσιοδοτημένους μηχανισμούς τρίτων κατασκευαστών μέσω του εξουσιοδοτημένου μοντέλου κινητήρα. Οι εξωτερικοί μηχανισμοί ερωτημάτων μπορούν να εγγραφούν ως εξουσιοδοτημένοι μηχανισμοί, να ανακτήσουν ορισμούς πολιτικής ασφαλείας και προυπολογισμένη αποτελεσματική πρόσβαση μέσω των API OneLake και να επιβάλουν δικαιώματα πίνακα, RLS και CLS κατά τη στιγμή του ερωτήματος. Το OneLake παραμένει η μοναδική πηγή αλήθειας για τις πολιτικές ασφαλείας και οι πολιτικές συντάσσονται μία φορά και επιβάλλονται με συνέπεια σε όλες τις μηχανές Fabric και τις εξουσιοδοτημένες εξωτερικές μηχανές.
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Επισκόπηση ενοποιήσεων ασφαλείας OneLake.
Ασφάλεια συντόμευσης
Οι συντομεύσεις στο Microsoft Fabric απλοποιούν τη διαχείριση δεδομένων. Η ασφάλεια φακέλων OneLake ισχύει για συντομεύσεις OneLake με βάση τους ρόλους που ορίζονται στο lakehouse όπου είναι αποθηκευμένα τα δεδομένα.
Για περισσότερες πληροφορίες σχετικά με ζητήματα ασφάλειας συντομεύσεων, ανατρέξτε στο θέμα Συντομεύσεις μοντέλου > ελέγχου πρόσβασης ασφαλείας OneLake.
Για πληροφορίες σχετικά με τις λεπτομέρειες πρόσβασης και ελέγχου ταυτότητας για συγκεκριμένες συντομεύσεις, ανατρέξτε στο θέμα τύποι συντομεύσεων OneLake.
Authentication
Το OneLake χρησιμοποιεί το Microsoft Entra ID για έλεγχο ταυτότητας. Χρησιμοποιήστε το για να εκχωρήσετε δικαιώματα σε ταυτότητες χρηστών και κύριες υπηρεσίες. Το OneLake εξάγει αυτόματα την ταυτότητα χρήστη από εργαλεία που χρησιμοποιούν έλεγχο ταυτότητας Microsoft Entra και την αντιστοιχίζει στα δικαιώματα που ορίζετε στην πύλη Fabric.
Note
Για να χρησιμοποιήσει τις οντότητες υπηρεσίας σε έναν μισθωτή Fabric, ένας διαχειριστής μισθωτή πρέπει να ενεργοποιήσει τα κύρια ονόματα υπηρεσίας (SPN) για ολόκληρο τον μισθωτή ή συγκεκριμένες ομάδες ασφάλειας. Μάθετε περισσότερα σχετικά με την ενεργοποίηση των οντοτήτων υπηρεσίας στο θέμα Ρυθμίσεις προγραμματιστή της πύλης διαχειριστή μισθωτή.
Αρχεία καταγραφής ελέγχου
Για να προβάλετε τα αρχεία καταγραφής ελέγχου OneLake, ακολουθήστε τις οδηγίες στην ενότητα Παρακολούθηση δραστηριοτήτων χρηστών στο Microsoft Fabric. Τα ονόματα λειτουργιών OneLake αντιστοιχούν σε API ADLS, όπως CreateFile ή DeleteFile. Τα αρχεία καταγραφής ελέγχου OneLake δεν περιλαμβάνουν αιτήσεις ανάγνωσης ή αιτήσεις που υποβάλλονται στο OneLake μέσω φόρτων εργασίας Fabric.
Κρυπτογράφηση και δικτύωση
Αδρανή δεδομένα
Τα δεδομένα που είναι αποθηκευμένα στο OneLake κρυπτογραφούνται σε κατάσταση αδράνειας από προεπιλογή χρησιμοποιώντας κλειδιά που διαχειρίζεται η Microsoft. Τα διαχειριζόμενα από τη Microsoft κλειδιά περιστρέφονται κατάλληλα. Το OneLake κρυπτογραφεί και αποκρυπτογραφεί τα δεδομένα με διαφάνεια και είναι συμβατό με το FIPS 140-2.
Μπορείτε να χρησιμοποιήσετε την κρυπτογράφηση σε αδράνεια χρησιμοποιώντας κλειδιά διαχειριζόμενα από τον πελάτη για να προσθέσετε ένα άλλο επίπεδο προστασίας, χρησιμοποιώντας κλειδιά που σας ανήκουν και ελέγχετε. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Κλειδιά διαχειριζόμενα από τον πελάτη για χώρους εργασίας Fabric.
Δεδομένα σε διαμετακόμιση
Τα δεδομένα που μεταφέρονται μέσω του δημόσιου Internet μεταξύ των υπηρεσιών της Microsoft κρυπτογραφούνται πάντα με χρήση τουλάχιστον TLS 1.2. Το Fabric διαπραγματεύεται στο TLS 1.3 όποτε αυτό είναι εφικτό. Η κυκλοφορία μεταξύ των υπηρεσιών της Microsoft δρομολογεί πάντα μέσω του καθολικού δικτύου της Microsoft.
Η εισερχόμενη επικοινωνία OneLake επιβάλλει επίσης το TLS 1.2 και διαπραγματεύεται στο TLS 1.3 όποτε αυτό είναι εφικτό. Η εξερχόμενη επικοινωνία Fabric με την υποδομή που ανήκει στον πελάτη προτιμά τα ασφαλή πρωτόκολλα, αλλά μπορεί να επιστρέψει στα παλαιότερα, μη ασφαλή πρωτόκολλα (συμπεριλαμβανομένου του TLS 1.0) όταν δεν υποστηρίζονται νεότερα πρωτόκολλα.
Ιδιωτικές συνδέσεις
Για να ρυθμίσετε τις παραμέτρους ιδιωτικών συνδέσεων στο Fabric, ανατρέξτε στο θέμα Ρύθμιση και χρήση ιδιωτικών συνδέσεων.
Να επιτρέπεται σε εφαρμογές που εκτελούνται εκτός του Fabric να αποκτούν πρόσβαση σε δεδομένα μέσω OneLake
Μπορείτε να επιτρέψετε ή να περιορίσετε την πρόσβαση σε δεδομένα OneLake από εφαρμογές που βρίσκονται εκτός του περιβάλλοντος Fabric. Οι διαχειριστές μπορούν να βρουν αυτήν τη ρύθμιση στην ενότητα OneLake των ρυθμίσεων μισθωτή πύλης διαχείρισης.
Όταν ενεργοποιείτε αυτήν τη ρύθμιση, οι χρήστες μπορούν να έχουν πρόσβαση σε δεδομένα από όλες τις προελεύσεις. Για παράδειγμα, ενεργοποιήστε αυτήν τη ρύθμιση εάν έχετε προσαρμοσμένες εφαρμογές που χρησιμοποιούν API Azure Data Lake Storage (ADLS) ή εξερεύνηση αρχείων OneLake. Όταν απενεργοποιείτε αυτήν τη ρύθμιση, οι χρήστες εξακολουθούν να έχουν πρόσβαση σε δεδομένα από εσωτερικές εφαρμογές όπως τα Spark, Data Engineering και αποθήκη δεδομένων, αλλά δεν έχουν πρόσβαση σε δεδομένα από εφαρμογές που εκτελούνται εκτός των περιβαλλόντων Fabric.