Ασφάλεια OneLake για τελικά σημεία ανάλυσης SQL

Με την ασφάλεια OneLake, το Microsoft Fabric επεκτείνει τον τρόπο με τον οποίο οι οργανισμοί μπορούν να διαχειρίζονται και να επιβάλλουν την access σε δεδομένα σε όλους τους φόρτους εργασίας. Αυτό το πλαίσιο ασφαλείας παρέχει στους διαχειριστές μεγαλύτερη ευελιξία για τη διαμόρφωση των δικαιωμάτων. Οι διαχειριστές μπορούν να επιλέξουν μεταξύ κεντρικής διαχείρισης μέσω του OneLake ή λεπτομερούς ελέγχου βάσει SQL εντός του τελικού σημείου ανάλυσης SQL.

Access modes στο τελικό σημείο ανάλυσης SQL

Όταν χρησιμοποιείτε το τελικό σημείο ανάλυσης SQL, η επιλεγμένη λειτουργία access καθορίζει τον τρόπο επιβολής της ασφάλειας δεδομένων. Το Fabric υποστηρίζει δύο διαφορετικά μοντέλα access, καθένα από τα οποία προσφέρει διαφορετικά πλεονεκτήματα ανάλογα με τις λειτουργικές σας ανάγκες και τις ανάγκες συμμόρφωσης:

  • Λειτουργία ταυτότητας χρήστη: Επιβάλλει την ασφάλεια χρησιμοποιώντας ρόλους και πολιτικές OneLake. Σε αυτήν τη λειτουργία, το τελικό σημείο ανάλυσης SQL μεταβιβάζει την ταυτότητα του συνδεδεμένου χρήστη στο OneLake και η πρόσβαση ανάγνωσης διέπεται εξ ολοκλήρου από τους κανόνες ασφαλείας που ορίζονται στο OneLake. Υποστηρίζονται δικαιώματα επιπέδου SQL σε αντικείμενα που δεν είναι δεδομένα (προβολές, αποθηκευμένες διαδικασίες, συναρτήσεις), διασφαλίζοντας συνεπή διαχείριση σε εργαλεία όπως το Power BI, τα σημειωματάρια και το lakehouse.

  • Λειτουργία ταυτότητας με ανάθεση: Παρέχει πλήρη έλεγχο μέσω SQL. Σε αυτήν τη λειτουργία, το τελικό σημείο ανάλυσης SQL συνδέεται στο OneLake χρησιμοποιώντας την ταυτότητα του χώρου εργασίας ή του κατόχου του στοιχείου και η ασφάλεια διέπεται αποκλειστικά από δικαιώματα SQL που ορίζονται μέσα στη βάση δεδομένων. Αυτό το μοντέλο υποστηρίζει παραδοσιακές προσεγγίσεις ασφαλείας, συμπεριλαμβανομένων των GRANT, REVOKE, προσαρμοσμένων ρόλων, Row-Level Security και Dynamic Data Masking.

Κάθε λειτουργία υποστηρίζει διαφορετικά μοντέλα διακυβέρνησης. Η κατανόηση των συνεπειών τους είναι απαραίτητη για την επιλογή της σωστής προσέγγισης στο περιβάλλον Fabric σας.

Σημαντικό

Απαιτείται πρόσβαση τεχνουργήματος για τη χρήση του τελικού σημείου ανάλυσης SQL. Για να συνδεθούν και να υποβάλουν ερωτήματα σε δεδομένα μέσω ενός τελικού σημείου ανάλυσης SQL, οι χρήστες πρέπει να έχουν δικαίωμα ανάγνωσης στο αντικείμενο σχεδίασης που σχετίζεται με το τελικό σημείο. Εάν ένας χρήστης δεν έχει πρόσβαση επιπέδου ελέγχου στο αντικείμενο σχεδίασης (για παράδειγμα, πρόσβαση ρόλου χώρου εργασίας ή ρητό δικαίωμα στοιχείου), η σύνδεση με το τελικό σημείο ανάλυσης SQL απορρίπτεται, ανεξάρτητα από τυχόν δικαιώματα SQL που μπορεί να υπάρχουν για αυτόν τον χρήστη.

Σύγκριση μεταξύ των access modes

Ο παρακάτω πίνακας συγκρίνει τον τρόπο και τον τόπο ορισμού της ασφάλειας στη λειτουργία ταυτότητας χρήστη σε σχέση με τη λειτουργία ταυτότητας με ανάθεση, με ανάλυση κατά τύπο αντικειμένου και πολιτικές πρόσβασης δεδομένων:

Στόχος ασφάλειας Λειτουργία ταυτότητας χρήστη Λειτουργία ταυτότητας με ανάθεση
Πίνακες Η Access ελέγχεται από ρόλους ασφαλείας OneLake. Η SQL GRANT/REVOKE δεν επιτρέπεται. Πλήρης έλεγχος με χρήση SQL GRANT/REVOKE.
Θέα Χρησιμοποιήστε SQL GRANT/REVOKE για να εκχωρήσετε δικαιώματα. Χρησιμοποιήστε SQL GRANT/REVOKE για να εκχωρήσετε δικαιώματα.
Αποθηκευμένες διαδικασίες Χρησιμοποιήστε SQL GRANT EXECUTE για να εκχωρήσετε δικαιώματα. Χρησιμοποιήστε SQL GRANT EXECUTE για να εκχωρήσετε δικαιώματα.
Functions Χρησιμοποιήστε SQL GRANT EXECUTE για να εκχωρήσετε δικαιώματα. Χρησιμοποιήστε SQL GRANT EXECUTE για να εκχωρήσετε δικαιώματα.
ΑσφάλειαRow-Level (RLS) Ορίζεται στο περιβάλλον εργασίας χρήστη του OneLake ως μέρος των ρόλων ασφαλείας του OneLake. Ορίζεται με χρήση SQL CREATE SECURITY POLICY.
ΑσφάλειαColumn-Level (CLS) Ορίζεται στο περιβάλλον εργασίας χρήστη του OneLake ως μέρος των ρόλων ασφαλείας του OneLake. Ορίζεται με χρήση SQL GRANT SELECT με λίστα στηλών.
Δυναμική μάσκα δεδομένων (DDM) Δεν υποστηρίζεται στην ασφάλεια OneLake. Ορίζεται χρησιμοποιώντας SQL ALTER TABLE με MASKED επιλογή.

Λειτουργία ταυτότητας χρήστη στην ασφάλεια OneLake

Στη λειτουργία ταυτότητας χρήστη, το τελικό σημείο ανάλυσης SQL χρησιμοποιεί έναν μηχανισμό ελέγχου ταυτότητας passthrough για την επιβολή access δεδομένων. Όταν ένας χρήστης συνδέεται στο τελικό σημείο ανάλυσης SQL, η ταυτότητα αναγνωριστικού Entra μεταβιβάζεται στο OneLake, το οποίο εκτελεί τον έλεγχο δικαιωμάτων. Όλες οι λειτουργίες ανάγνωσης σε σχέση με πίνακες αξιολογούνται χρησιμοποιώντας τους κανόνες ασφαλείας που ορίζονται στο OneLake Lakehouse και όχι από οποιοδήποτε επίπεδο GRANT SQL ή REVOKE προτάσεις.

Αυτή η λειτουργία σάς επιτρέπει να διαχειρίζεστε την ασφάλεια κεντρικά, διασφαλίζοντας συνεπή επιβολή σε όλες τις εμπειρίες Fabric, συμπεριλαμβανομένου του τελικού σημείου Power BI, σημειωματαρίων, λιμνίων και αναλύσεων SQL. Έχει σχεδιαστεί για μοντέλα διακυβέρνησης όπου η access θα πρέπει να ορίζεται μία φορά στο OneLake και να γίνεται αυτόματα σεβαστή παντού.

Σε λειτουργία ταυτότητας χρήστη:

  • Η access Table διέπεται εξ ολοκλήρου από την ασφάλεια OneLake. Οι προτάσεις SQL GRANT/REVOKE σε πίνακες παραβλέπονται.

  • Το RLS (Row-Level Security), το CLS (Column-Level Security) και το Object-Level Security ορίζονται όλα στην εμπειρία OneLake.

  • Τα δικαιώματα SQL επιτρέπονται για αντικείμενα εκτός δεδομένων, όπως προβολές, αποθηκευμένες διαδικασίες και συναρτήσεις, επιτρέποντας ευελιξία για τον ορισμό προσαρμοσμένης λογικής ή σημείων εισόδου σε δεδομένα που απευθύνονται στο χρήστη.

  • Οι λειτουργίες εγγραφής δεν υποστηρίζονται στο τελικό σημείο ανάλυσης SQL. Όλες οι εγγραφές πρέπει να πραγματοποιούνται μέσω της σελίδας Lakehouse στην πύλη Fabric και διέπονται από ρόλους χώρου εργασίας (Διαχειριστής, Μέλος, Συμβάλλων).

Σημαντικό

Χαρτογράφηση ταυτότητας ένας προς έναν μεταξύ παραγωγού και καταναλωτή (hub-and-spoke). Όταν οι πολιτικές ασφαλείας OneLake μεταφέρονται από μια πύλη παροχής (το στοιχείο προέλευσης όπου ορίζεται ο ρόλος) σε έναν καταναλωτή (ένα στοιχείο προορισμού που έχει πρόσβαση στα δεδομένα μέσω μιας συντόμευσης), οι ταυτότητες που έχουν εκχωρηθεί σε ρόλους ασφαλείας OneLake στην πύλη παροχής πρέπει να αντιστοιχιστούν ακριβώς 1:1 στον καταναλωτή. Ο ίδιος κύριος—είτε πρόκειται για χρήστη είτε για ομάδα—πρέπει να έχει δικαίωμα Fabric Read για το αντικείμενο σχεδίασης καταναλωτή με αυτό που αναφέρεται στον ρόλο ασφαλείας του παραγωγού. Η ένθετη ή αποτελεσματική ιδιότητα μέλους ομάδας δεν επιλύεται πέρα από αυτό το όριο.

Για παράδειγμα, εάν ο ρόλος ασφαλείας OneLake στην πύλη παραγωγής αναφέρεται στο user123@microsoft.com, τότε το user123@microsoft.com (αυτό ακριβώς το αναγνωριστικό αντικειμένου) πρέπει επίσης να έχει Fabric δικαίωμα ανάγνωσης στο lakehouse του καταναλωτή. Ομοίως, εάν ο ρόλος του παραγωγού αναφέρεται στο Group A, τότε το ίδιο το Group A πρέπει να παραχωρηθεί Fabric άδεια ανάγνωσης στον καταναλωτή—η παραχώρηση αυτής της άδειας μόνο σε ένα μέλος της Ομάδας Α δεν ικανοποιεί την αντιστοίχιση.

Για περισσότερες πληροφορίες σχετικά με το μοντέλο δικαιωμάτων με τη λειτουργία ταυτότητας χρήστη, ανατρέξτε στο μοντέλο ελέγχου πρόσβασης δεδομένων για την ασφάλεια OneLake.

Συγχρονισμός ασφαλείας μεταξύ τελικού σημείου OneLake και SQL analytics

Ένα κρίσιμο στοιχείο της λειτουργίας ταυτότητας χρήστη είναι η υπηρεσία συγχρονισμού ασφαλείας. Αυτή η υπηρεσία παρασκηνίου παρακολουθεί τις αλλαγές που γίνονται στους ρόλους ασφαλείας στο OneLake και διασφαλίζει ότι αυτές οι αλλαγές αντικατοπτρίζονται στο τελικό σημείο ανάλυσης SQL.

Η υπηρεσία συγχρονισμού ασφαλείας είναι υπεύθυνη για τα εξής:

  • Εντοπισμός αλλαγών σε ρόλους OneLake, συμπεριλαμβανομένων νέων ρόλων, ενημερώσεων, εκχωρήσεων χρηστών και αλλαγών σε πίνακες.

  • Μετάφραση πολιτικών που ορίζονται από το OneLake (RLS, CLS, OLS) σε ισοδύναμες δομές ρόλων βάσεων δεδομένων συμβατές με SQL.

  • Διασφάλιση ότι τα αντικείμενα συντόμευσης (πίνακες που προέρχονται από άλλες λίμνες) έχουν επικυρωθεί σωστά, ώστε να τηρούνται οι αρχικές ρυθμίσεις ασφαλείας του OneLake, ακόμη και όταν η πρόσβαση γίνεται από απόσταση.

Αυτός ο συγχρονισμός διασφαλίζει ότι οι ορισμοί ασφαλείας του OneLake παραμένουν έγκυροι, εξαλείφοντας την ανάγκη για μη αυτόματη παρέμβαση σε επίπεδο SQL για την αναπαραγωγή της συμπεριφοράς ασφαλείας. Επειδή η ασφάλεια επιβάλλεται κεντρικά:

  • Δεν μπορείτε να ορίσετε RLS, CLS ή OLS απευθείας χρησιμοποιώντας την T-SQL σε αυτήν τη λειτουργία.

  • Μπορείτε ακόμα να εφαρμόσετε δικαιώματα SQL σε προβολές, συναρτήσεις και αποθηκευμένες διαδικασίες χρησιμοποιώντας GRANT προτάσεις or EXECUTE .

Επαναφορά επανάληψης συγχρονισμού ασφαλείας

Ο συγχρονισμός ασφαλείας περιλαμβάνει έναν μηχανισμό επιστροφής επανάληψης για την προστασία της σταθερότητας του συστήματος και την αποφυγή περιττής υπολογιστικής κατανάλωσης:

  • Εάν παρουσιαστούν επαναλαμβανόμενα σφάλματα κατά την εφαρμογή ρόλων ασφαλείας OneLake στο τελικό σημείο ανάλυσης SQL, το σύστημα μπορεί να θέσει προσωρινά σε παύση τις προσπάθειες αυτόματου συγχρονισμού.

  • Ο συγχρονισμός συνεχίζεται αυτόματα όταν τροποποιηθεί ένας υπάρχων ρόλος ασφαλείας OneLake ή δημιουργηθεί ένας νέος.

Σφάλματα και επίλυση συγχρονισμού ασφαλείας

Σενάριο Συμπεριφορά σε λειτουργία ταυτότητας χρήστη Συμπεριφορά σε λειτουργία κατ' εξουσιοδότηση Διορθωτικά μέτρα Σημειώσεις
Η πολιτική RLS αναφέρεται σε μια στήλη που έχει διαγραφεί ή μετονομαστεί Σφάλμα: Η πολιτική ασφαλείας σε επίπεδο γραμμών αναφέρεται σε μια στήλη που δεν υπάρχει πλέον. Η βάση δεδομένων εισέρχεται σε κατάσταση σφάλματος μέχρι να διορθωθεί η πολιτική. Σφάλμα: Μη έγκυρο όνομα <στήλης όνομα στήλης> Ενημερώστε ή καταργήστε έναν ή περισσότερους ρόλους που επηρεάζονται ή επαναφέρετε τη στήλη που λείπει. Η ενημέρωση πρέπει να γίνει στο lakehouse όπου δημιουργήθηκε ο ρόλος.
Η πολιτική CLS αναφέρεται σε μια στήλη που έχει διαγραφεί ή μετονομαστεί Σφάλμα: Η πολιτική ασφαλείας σε επίπεδο στήλης αναφέρεται σε μια στήλη που δεν υπάρχει πλέον. Η βάση δεδομένων εισέρχεται σε κατάσταση σφάλματος μέχρι να διορθωθεί η πολιτική. Σφάλμα: Μη έγκυρο όνομα <στήλης όνομα στήλης> Ενημερώστε ή καταργήστε έναν ή περισσότερους ρόλους που επηρεάζονται ή επαναφέρετε τη στήλη που λείπει. Η ενημέρωση πρέπει να γίνει στο lakehouse όπου δημιουργήθηκε ο ρόλος.
Η πολιτική RLS/CLS αναφέρεται σε έναν πίνακα που έχει διαγραφεί ή μετονομαστεί Σφάλμα: Η πολιτική ασφαλείας αναφέρεται σε έναν πίνακα που δεν υπάρχει πλέον. Δεν εμφανίστηκε σφάλμα. Το ερώτημα αποτυγχάνει χωρίς μηνύματα εάν λείπει πίνακας. Ενημερώστε ή καταργήστε έναν ή περισσότερους ρόλους που επηρεάζονται ή επαναφέρετε τον πίνακα που λείπει. Η ενημέρωση πρέπει να γίνει στο lakehouse όπου δημιουργήθηκε ο ρόλος.
Η πολιτική DDM (Dynamic Data Masking) αναφέρεται σε μια στήλη που έχει διαγραφεί ή μετονομαστεί Το DDM δεν υποστηρίζεται από την ασφάλεια OneLake. πρέπει να υλοποιηθεί μέσω SQL. Σφάλμα: Μη έγκυρο όνομα <στήλης όνομα στήλης> Ενημερώστε ή καταργήστε έναν ή περισσότερους κανόνες DDM που επηρεάζονται ή επαναφέρετε τη στήλη που λείπει. Ενημερώστε την πολιτική DDM στο τελικό σημείο ανάλυσης SQL.
Σφάλμα συστήματος (μη αναμενόμενη αποτυχία) Σφάλμα: Παρουσιάστηκε μη αναμενόμενο σφάλμα συστήματος. Δοκιμάστε ξανά ή επικοινωνήστε με την υποστήριξη. Σφάλμα: Παρουσιάστηκε εσωτερικό σφάλμα κατά την εφαρμογή αλλαγών πίνακα στην SQL. Επαναλάβετε τη λειτουργία. Εάν το πρόβλημα παραμένει, επικοινωνήστε με την Υποστήριξη της Microsoft. Δ/Υ
Ο χρήστης δεν έχει δικαιώματα για το αντικείμενο σχεδίασης Σφάλμα: Ο χρήστης δεν έχει δικαιώματα για το αντικείμενο σχεδίασης Σφάλμα: Ο χρήστης δεν έχει δικαιώματα για το αντικείμενο σχεδίασης Δώστε στον χρήστη objectID {objectID} άδεια για το τεχνούργημα. Το αναγνωριστικό αντικειμένου πρέπει να ταιριάζει ακριβώς μεταξύ του μέλους ρόλου ασφαλείας OneLake και των δικαιωμάτων στοιχείου Fabric. Εάν μια ομάδα προστεθεί στην ιδιότητα μέλους ρόλου, στην ίδια ομάδα πρέπει να εκχωρηθεί το δικαίωμα ανάγνωσης Fabric. Η προσθήκη ενός μέλους από αυτήν την ομάδα στο στοιχείο δεν υπολογίζεται ως άμεση αντιστοίχιση.
Η αρχή χρήστη δεν υποστηρίζεται Σφάλμα: Η αρχή χρήστη δεν υποστηρίζεται. Σφάλμα: Η αρχή χρήστη δεν υποστηρίζεται. Κατάργηση χρήστη {username} από τον ρόλο DefaultReader. Αυτό το σφάλμα παρουσιάζεται εάν ο χρήστης δεν είναι πλέον έγκυρο Entra ID (για παράδειγμα, ο χρήστης αποχώρησε από τον οργανισμό ή διαγράφηκε). Καταργήστε τους από το ρόλο για να επιλύσετε το σφάλμα.

Συμπεριφορά συντομεύσεων με συγχρονισμό ασφαλείας

Η ασφάλεια OneLake επιβάλλεται στην πηγή της αλήθειας, επομένως ο συγχρονισμός ασφαλείας απενεργοποιεί την αλυσίδα ιδιοκτησίας για πίνακες και προβολές που περιλαμβάνουν συντομεύσεις. Αυτό εξασφαλίζει ότι τα δικαιώματα του συστήματος προέλευσης αξιολογούνται και τηρούνται πάντα, ακόμη και για ερωτήματα από άλλη βάση δεδομένων.

Ως αποτέλεσμα:

  • Οι χρήστες πρέπει να έχουν έγκυρες access στο αμφότερα τη συντόμευση source (τρέχον τελικό σημείο Lakehouse ή SQL analytics) and το destination όπου βρίσκονται φυσικά τα δεδομένα.

  • Εάν ο χρήστης δεν έχει δικαιώματα και στις δύο πλευρές, τα ερωτήματα αποτυγχάνουν με σφάλμα πρόσβασης.

  • Κατά τη σχεδίαση εφαρμογών ή προβολών που αναφέρονται σε συντομεύσεις, βεβαιωθείτε ότι οι αναθέσεις ρόλων έχουν ρυθμιστεί σωστά και στα δύο άκρα της σχέσης συντομεύσεων.

Αυτή η σχεδίαση διατηρεί την ακεραιότητα ασφαλείας στα όρια του Lakehouse, αλλά εισάγει σενάρια όπου ενδέχεται να προκύψουν αποτυχίες access εάν οι ρόλοι μεταξύ Lakehouse δεν είναι ευθυγραμμισμένοι.

Λειτουργία ανάθεσης στην ασφάλεια OneLake

Στη λειτουργία ταυτότητας με ανάθεση, το τελικό σημείο ανάλυσης SQL διατηρεί τη συμβατότητα με το παραδοσιακό μοντέλο ασφαλείας SQL. Η ασφάλεια ορίζεται και επιβάλλεται στο επίπεδο του μηχανισμού SQL και οι ρόλοι ασφαλείας και οι πολιτικές πρόσβασης του OneLake δεν μεταφέρονται στην πρόσβαση σε επίπεδο πίνακα. Όλο το φιλτράρισμα και ο έλεγχος πρόσβασης—συμπεριλαμβανομένης της πρόσβασης σε σχήματα και πίνακες, Row-Level Security (RLS), Column-Level Security (CLS) και Dynamic Data Masking (DDM)—πρέπει να ορίζονται χρησιμοποιώντας δομές SQL (GRANT/REVOKE, πολιτικές ασφαλείας και ούτω καθεξής).

Επειδή οι ρόλοι ασφαλείας OneLake για τον τελικό χρήστη δεν επιβάλλονται άμεσα, τυχόν κανόνες ασφαλείας που ορίζονται στο OneLake (για παράδειγμα, κανόνες που επιβάλλονται από το Spark ή άλλους μηχανισμούς που διαβάζουν μέσω του OneLake) δεν θα ισχύουν όταν υποβάλλονται ερωτήματα για τα ίδια δεδομένα μέσω του τελικού σημείου ανάλυσης SQL. Επιλέξτε αυτήν τη λειτουργία όταν ο φόρτος εργασίας εξαρτάται από τη σημασιολογία ασφαλείας που είναι εγγενής στην SQL ή όταν τα υπάρχοντα εργαλεία T-SQL απαιτούν πλήρη συμβατότητα.

Όταν ένας χρήστης συνδέεται στο τελικό σημείο ανάλυσης SQL και εκδίδει ένα ερώτημα:

  • Η SQL επικυρώνει το ερώτημα σε σχέση με τα δικαιώματα που ορίζονται στο επίπεδο SQL.

  • Εάν το ερώτημα είναι εξουσιοδοτημένο, το σύστημα προχωρά στην access δεδομένων που είναι αποθηκευμένα στο OneLake.

  • Αυτή η πρόσβαση σε δεδομένα πραγματοποιείται χρησιμοποιώντας την ταυτότητα του κατόχου τελικού σημείου Lakehouse ή ανάλυσης SQL, γνωστό και ως λογαριασμός στοιχείου, όχι ο συνδεδεμένος χρήστης.

Επομένως, ο κάτοχος του στοιχείου είναι υπεύθυνος για την ύπαρξη επαρκών δικαιωμάτων στο OneLake για την ανάγνωση των υποκείμενων αρχείων εκ μέρους του φόρτου εργασίας. Οποιαδήποτε κακή ευθυγράμμιση μεταξύ των δικαιωμάτων SQL που εκχωρούνται στους τελικούς χρήστες και της πρόσβασης OneLake του κατόχου του στοιχείου έχει ως αποτέλεσμα αποτυχίες ερωτημάτων.

Αυτή η λειτουργία υποστηρίζει υπάρχοντα εργαλεία και πρακτικές T-SQL που χρησιμοποιούνται από DBA ή εφαρμογές, με πλήρη συμβατότητα για SQL GRANT/REVOKE σε όλα τα επίπεδα αντικειμένων και RLS, CLS και DDM που ορίζονται από SQL.

Συμπεριφορά συντομεύσεων σε λειτουργία ανάθεσης

Επειδή η λειτουργία ανάθεσης συνδέεται στο OneLake χρησιμοποιώντας την ταυτότητα του κατόχου του στοιχείου, οι συντομεύσεις λειτουργούν μόνο όταν ο κάτοχος έχει απεριόριστη πρόσβαση σε ολόκληρο τον πίνακα προέλευσης. Εάν στον πίνακα προέλευσης έχει εφαρμοστεί οποιοσδήποτε κανόνας ασφαλείας επιπέδου OneLake, όπως Row-Level Security (RLS), Column-Level Security (CLS)- το τελικό σημείο ανάλυσης SQL αποκλείει την πρόσβαση σε αυτήν τη συντόμευση.

Ως αποτέλεσμα:

  • Οι συντομεύσεις που παραπέμπουν σε πίνακες προέλευσης χωρίς κανόνες ασφαλείας σε επίπεδο δεδομένων λειτουργούν κανονικά σε λειτουργία ανάθεσης.

  • Οι συντομεύσεις που παραπέμπουν σε πίνακες προέλευσης με RLS ή CLS στην ασφάλεια OneLake στην πύλη παροχής δεν είναι προσβάσιμες μέσω του τελικού σημείου ανάλυσης SQL σε λειτουργία ανάθεσης, ακόμα και αν ο τελικός χρήστης έχει δικαιώματα SQL στο αντικείμενο συντόμευσης.

  • Για να χρησιμοποιήσετε συντομεύσεις των οποίων η προέλευση έχει πολιτικές ασφαλείας OneLake, χρησιμοποιήστε τη λειτουργία ταυτότητας χρήστη στο τελικό σημείο του καταναλωτή, έτσι ώστε η ταυτότητα του τελικού χρήστη να αξιολογείται με βάση τους κανόνες ασφαλείας OneLake της προέλευσης.

Πώς να αλλάξετε τη λειτουργία access OneLake

Η λειτουργία πρόσβασης καθορίζει τον τρόπο ελέγχου ταυτότητας και επιβολής της πρόσβασης δεδομένων κατά την υποβολή ερωτημάτων στο OneLake μέσω του τελικού σημείου ανάλυσης SQL. Μπορείτε να κάνετε εναλλαγή μεταξύ λειτουργίας ταυτότητας χρήστη και λειτουργίας ταυτότητας με ανάθεση ακολουθώντας τα παρακάτω βήματα:

  1. Πλοηγηθείτε στον χώρο εργασίας Fabric και ανοίξτε το σπίτι σας στη λίμνη. Από την επάνω δεξιά γωνία, μεταβείτε από το lakehouse στο τελικό σημείο ανάλυσης SQL.

  2. Από την επάνω περιήγηση, μεταβείτε στην καρτέλα Ασφάλεια και επιλέξτε μία από τις ακόλουθες λειτουργίες πρόσβασης OneLake:

    • Ταυτότητα χρήστη – Χρησιμοποιεί την ταυτότητα του συνδεδεμένου χρήστη. Επιβάλλει ρόλους OneLake.

    • Ταυτότητα με ανάθεση – Χρησιμοποιεί την ταυτότητα του κατόχου του στοιχείου. Επιβάλλει μόνο δικαιώματα SQL.

  3. Ξεκινά ένα αναδυόμενο παράθυρο για να επιβεβαιώσετε την επιλογή σας. Επιλέξτε Ναι για να επιβεβαιώσετε την αλλαγή.

Σημαντικό

Η προσωρινή αλλαγή της λειτουργίας ασφαλείας καθιστά τα τελικά σημεία ανάλυσης SQL μη διαθέσιμα σε ολόκληρο τον χώρο εργασίας. Αυτή η ενέργεια ακυρώνει όλα τα ερωτήματα που εκτελούνται και βρίσκονται σε ουρά σε όλα τα τελικά σημεία ανάλυσης SQL σε αυτόν τον χώρο εργασίας. Αλλάξτε τις λειτουργίες μόνο εάν χρειάζεται και κατά προτίμηση κατά τις μη εργάσιμες ώρες για να αποφύγετε διακοπές λειτουργίας.

Ζητήματα που πρέπει να λαμβάνονται υπόψη κατά την εναλλαγή μεταξύ λειτουργιών

Σημαντικό

Η εναλλαγή μεταξύ της ταυτότητας χρήστη και των λειτουργιών ανάθεσης (προς οποιαδήποτε κατεύθυνση) καταργεί προς το παρόν τα ενσωματωμένα αντικείμενα μεταδεδομένων, συμπεριλαμβανομένων των συναρτήσεων με τιμή πίνακα (TVF) και των συναρτήσεων με ανυσματική τιμή. Αυτή η συμπεριφορά επηρεάζει μόνο τους ορισμούς μετα-δεδομένων. Τα υποκείμενα δεδομένα στο OneLake δεν επηρεάζονται.

Μετάβαση σε λειτουργία ταυτότητας χρήστη

  • Τα δικαιώματα SQL RLS, CLS και σε επίπεδο πίνακα παραβλέπονται.

  • Οι ρόλοι OneLake πρέπει να ρυθμιστούν για να διατηρήσουν οι χρήστες την access.

  • Μόνο οι χρήστες με δικαιώματα προβολής ή κοινόχρηστη πρόσβαση μόνο για ανάγνωση διέπονται από την ασφάλεια OneLake.

  • Οι υπάρχοντες ρόλοι SQL διαγράφονται και δεν είναι δυνατή η ανάκτησή τους.

Μετάβαση σε λειτουργία ταυτότητας με ανάθεση

  • Οι ρόλοι και οι πολιτικές ασφαλείας του OneLake δεν εφαρμόζονται πλέον.

  • Οι ρόλοι SQL και οι πολιτικές ασφαλείας ενεργοποιούνται.

  • Ο κάτοχος του στοιχείου πρέπει να έχει έγκυρη access OneLake, διαφορετικά όλα τα ερωτήματα ενδέχεται να αποτύχουν.

Παρατηρήσεις

  • Τα αντικείμενα SQL δεν κληρονομούν την κυριότητα: Οι συντομεύσεις λειτουργούν ως πίνακες στο τελικό σημείο ανάλυσης SQL, αλλά αποκλίνουν σκόπιμα από την τυπική αλυσίδα ιδιοκτησίας SQL για να διατηρήσουν μια ενοποιημένη κατάσταση ασφαλείας.

    • Κανόνας μη μεταβίβασης: Τα παράγωγα αντικείμενα SQL (προβολές, αποθηκευμένες διαδικασίες ή συναρτήσεις) δεν κληρονομούν δικαιώματα από τον κάτοχο του αντικειμένου.

    • Επικύρωση χρόνου εκτέλεσης: Τα δικαιώματα επαληθεύονται σε σχέση με την ταυτότητα του καλούντος κατά τη στιγμή της εκτέλεσης, διασφαλίζοντας ότι οι αφαιρέσεις SQL δεν μπορούν να παρακάμψουν τις πολιτικές σε επίπεδο OneLake.

    • Security by design: Οι πολιτικές ασφαλείας παραμένουν συνεπείς είτε η πρόσβαση στα δεδομένα γίνεται μέσω SQL, Spark ή Power BI.

  • Εξάρτηση επιπέδου ελέγχου (αυστηρή αντιστοίχιση ταυτότητας): Η ασφάλεια OneLake απαιτεί η ταυτότητα στην οποία έχει εκχωρηθεί πρόσβαση στον παραγωγό να είναι η ίδια ταυτότητα που αναγνωρίζεται κατά την αξιολόγηση πρόσβασης στο επίπεδο δεδομένων καταναλωτή. Το σύστημα επικυρώνει τη συγκεκριμένη αρχή στην οποία παραχωρήθηκε πρόσβαση στην πηγή και δεν επεκτείνει την ένθετη ιδιότητα μέλους ομάδας ούτε συνάγει αποτελεσματική πρόσβαση μέσω έμμεσης ιδιότητας μέλους.

    • Κυριολεκτική κύρια αντιστοίχιση: Η πρόσβαση αξιολογείται με βάση το ακριβές αναγνωριστικό αντικειμένου που έχει εκχωρηθεί στην πύλη παροχής.

    • Χωρίς ένθετη/αποτελεσματική επίλυση: Η ένθετη ιδιότητα μέλους ομάδας ή η έμμεση μεταβίβαση δεν αντιμετωπίζεται ως επαρκής για επιβολή. Δείτε την επεξήγηση στη λειτουργία ταυτότητας χρήστη στην ασφάλεια OneLake για ένα παράδειγμα εργασίας.

  • Συμπεριφορά αξιολόγησης δικαιωμάτων: Η αξιολόγηση δικαιωμάτων διαφέρει ανάλογα με τον τύπο πίνακα με βάση το τρέχον μοντέλο επιβολής.

    • Πίνακες συντομεύσεων: Η πρόσβαση μπορεί να απορριφθεί όταν δεν πληρούνται οι απαιτούμενες προϋποθέσεις εξουσιοδότησης. Αυτό είναι ένα περιοριστικό αποτέλεσμα επιβολής, όχι μια δυνατότητα DENY βάσει ρόλων στην ασφάλεια OneLake.

    • Γενικός κανόνας: Όταν η επιβολή δεν μπορεί να επικυρώσει σαφώς την πρόσβαση, το σύστημα εφαρμόζει το πιο περιοριστικό αποτέλεσμα.

  • Column-Level Σχεδιασμός ασφάλειας (CLS): Το CLS διατηρεί μια αυστηρή λίστα επιτρεπόμενων στηλών.

    • Η μετονομασία ή η κατάργηση μιας επιτρεπόμενης στήλης ακυρώνει τον κανόνα ασφαλείας. Ενώ ο κανόνας παραμένει στο σύστημα, παραμένει ανενεργός—αρνούμενος κάθε πρόσβαση στον πόρο—μέχρι να αποκατασταθεί η αρχική ονομασία στήλης.

    • Προστασία συγχρονισμού: Όταν μια πολιτική δεν είναι έγκυρη, ο συγχρονισμός μετα-δεδομένων αποκλείεται από τη σχεδίαση μέχρι να διορθωθεί ο κανόνας στον πίνακα ασφαλείας OneLake.

    • Επικύρωση σχήματος: Η μετονομασία στηλών χωρίς ενημέρωση των πολιτικών ασφαλείας ενεργοποιεί σφάλματα περιβάλλοντος εργασίας χρήστη που δηλώνουν ότι η στήλη "δεν υπάρχει" μέχρι να συγχρονιστεί η ρύθμιση παραμέτρων.

  • Μετάδοση και συγχρονισμός ρόλων (SLA):

    • Συγχρονισμός ασφαλείας OneLake: Όταν ένας ρόλος ασφαλείας OneLake αλλάζει στη λειτουργία ταυτότητας χρήστη, η ενημέρωση δεν είναι άμεση. Αν και συνήθως είναι γρήγορο, μπορεί να χρειαστούν έως και 5 λεπτά για να συγχρονιστεί με το τελικό σημείο ανάλυσης SQL.

    • Αυτόματο πρόθεμα: Οι ρόλοι ασφαλείας OneLake μεταδίδονται στο τελικό σημείο ανάλυσης SQL με το OLS_ πρόθεμα.

    • Προτεραιότητα συγχρονισμού: Η διαδικασία συγχρονισμού ασφαλείας ανανεώνει περιοδικά την κατάσταση των OLS_ ρόλων. Οι μη αυτόματες αλλαγές σε αυτούς τους ρόλους δεν υποστηρίζονται και αντικαθίστανται κατά τον επόμενο κύκλο συγχρονισμού. Εάν δεν υπάρχουν αλλαγές στο συγχρονισμό, ο συγχρονισμός ασφαλείας δεν παρακάμπτει τις μη αυτόματες αλλαγές.

  • Ασφάλεια και συντομεύσεις SQL αποθήκης: Οι πολιτικές ασφαλείας που ορίζονται με χρήση δομών SQL σε μια αποθήκη, όπως Row-Level Security (RLS), Column-Level Security (CLS) ή Object-Level Security (OLS)- επιβάλλονται μόνο εντός του περιβάλλοντος εκτέλεσης SQL της αποθήκης (τελικό σημείο TDS).

Σημαντικό

Όταν η πρόσβαση σε δεδομένα από μια αποθήκη γίνεται μέσω συντομεύσεων OneLake, αυτή η σημασιολογία ασφαλείας SQL δεν μεταφράζεται σε πολιτικές ασφαλείας OneLake. Ως αποτέλεσμα, οι χρήστες που έχουν πρόσβαση στα δεδομένα μέσω μιας συντόμευσης ενδέχεται να δουν το πλήρες σύνολο δεδομένων, ανεξάρτητα από τις πολιτικές ασφαλείας SQL που έχουν ρυθμιστεί στην αποθήκη προέλευσης.

Περιορισμοί

  • Ισχύει μόνο για αναγνώστες: Η ασφάλεια OneLake επιβάλλεται κυρίως για χρήστες που έχουν πρόσβαση σε δεδομένα μέσω του χώρου εργασίας σε επίπεδο προβολής ή της πρόσβασης σε στοιχεία. Οι χρήστες με ευρύτερους ρόλους χώρου εργασίας, όπως Διαχειριστής, Μέλος ή Συνεργάτης , διατηρούν αυξημένη πρόσβαση και δεν αποτελούν τον κύριο στόχο της επιβολής ασφαλείας του OneLake.

    • Εξαιρέσεις:

      • Συμπεριφορά άρνησης συντόμευσης: Για πίνακες που υποστηρίζονται από συντομεύσεις, η επιβολή μπορεί να αρνηθεί την πρόσβαση σε διαχειριστές, μέλη ή συμβάλλοντες σε συγκεκριμένες περιπτώσεις.

      • Περιπτώσεις αποτυχίας συγχρονισμού ασφαλείας: Εάν ο συγχρονισμός ασφαλείας αποτύχει να εφαρμόσει σωστά την ασφάλεια για ορισμένους πίνακες ή ρόλους, οι χρήστες σε ρόλους διαχειριστή, μέλους ή συμβαλλόντων που είναι μέλη αυτών των επηρεαζόμενων ρόλων ενδέχεται επίσης να αντιμετωπίσουν περιορισμένη πρόσβαση.

      • RLS σε λειτουργία ταυτότητας χρήστη: Όταν η Ασφάλεια Row-Level (RLS) έχει ρυθμιστεί σε λειτουργία ταυτότητας χρήστη, οι καθορισμένοι κανόνες ασφαλείας επιβάλλονται για όλους τους χρήστες, συμπεριλαμβανομένων εκείνων που βρίσκονται σε ρόλους διαχειριστή, μέλους και συμβάλλουντος.

  • Ορατότητα σχήματος σε μετα-δεδομένα αντικειμένου: Το τελικό σημείο ανάλυσης SQL επιστρέφει πάντα όλα τα ονόματα σχήματος στα μετα-δεδομένα αντικειμένου, ανεξάρτητα από τα δικαιώματα του χρήστη σε επίπεδο πίνακα. Οι πίνακες για τους οποίους ο χρήστης δεν έχει δικαιώματα φιλτράρονται και δεν εμφανίζονται στην καταχώριση.

    • Ως αποτέλεσμα, οι χρήστες ενδέχεται να δουν σχήματα που δεν περιέχουν ορατούς πίνακες στην εξερεύνηση αντικειμένων ή σε INFORMATION_SCHEMA/sys ερωτήματα καταλόγου.

  • Εξάρτηση συγχρονισμού ασφαλείας: Στη λειτουργία ταυτότητας χρήστη, οι ρόλοι ασφαλείας OneLake συγχρονίζονται με το τελικό σημείο ανάλυσης SQL μέσω της διαδικασίας συγχρονισμού ασφαλείας. Μέχρι να ολοκληρωθεί ο συγχρονισμός, η SQL μπορεί να αξιολογήσει προσωρινά την πρόσβαση χρησιμοποιώντας την υπάρχουσα κατάσταση δικαιωμάτων SQL. Μόλις ολοκληρωθεί ο συγχρονισμός, το τελικό σημείο SQL αντικατοπτρίζει τη ρύθμιση παραμέτρων ασφαλείας OneLake.

  • Επίγνωση ορίων συντόμευσης: Το τελικό σημείο ανάλυσης SQL μπορεί αρχικά να αξιολογήσει πίνακες που υποστηρίζονται από συντομεύσεις χρησιμοποιώντας τυπική σημασιολογία αντικειμένων SQL. Μετά τον συγχρονισμό ασφαλείας, εφαρμόζονται πολιτικές ασφαλείας OneLake για να διασφαλιστεί ότι η επιβολή πρόσβασης ευθυγραμμίζεται με τα όρια τεχνουργημάτων και χώρου εργασίας.

  • Χρονισμός επιβολής πρόσβασης μεταξύ τεχνουργημάτων: Η πρόσβαση σε πίνακες που υποστηρίζονται από συντομεύσεις OneLake που αναφέρονται σε δεδομένα από άλλα αντικείμενα σχεδίασης επιβάλλεται μέσω συγχρονισμένων ρόλων ασφαλείας OneLake. Μέχρι να πραγματοποιηθεί ο συγχρονισμός, η εξουσιοδότηση SQL μπορεί να αντικατοπτρίζει προσωρινά την προηγούμενη κατάσταση δικαιωμάτων.

  • Αλλαγές ιδιοκτησίας σε πίνακες με υποστήριξη συντομεύσεων: Οι πίνακες με υποστήριξη συντομεύσεων αντιπροσωπεύονται ως αντικείμενα SQL στο τελικό σημείο ανάλυσης SQL και, επομένως, υποστηρίζουν τυπικές λειτουργίες ιδιοκτησίας SQL. Εντολές διαχείρισης όπως ALTER AUTHORIZATION μπορούν να αλλάξουν τον κάτοχο ενός πίνακα με υποστήριξη συντομεύσεων. Σε ορισμένα σενάρια, αυτό μπορεί να επιτρέψει συμπεριφορά αλυσίδας ιδιοκτησίας που παρακάμπτει τις πολιτικές ασφαλείας του OneLake και εκχωρεί ακούσια πρόσβαση στα υποκείμενα δεδομένα. Μέχρι να εισαχθούν πρόσθετοι μηχανισμοί επιβολής, οι διαχειριστές θα πρέπει να αποφεύγουν την τροποποίηση της ιδιοκτησίας σε πίνακες που υποστηρίζονται από συντομεύσεις.

  • Χρόνος εκτός λειτουργίας επικύρωσης προορισμού: Όταν αλλάζει ένας προορισμός συντόμευσης (για παράδειγμα, μετονομασία ή ενημέρωση διεύθυνσης URL), η βάση δεδομένων μεταβαίνει για λίγο σε λειτουργία ενός χρήστη ενώ το σύστημα επικυρώνει τον νέο προορισμό. Κατά τη διάρκεια αυτής της περιόδου, τα ερωτήματα αποκλείονται. Αυτές οι λειτουργίες είναι συνήθως γρήγορες, αλλά, ανάλογα με τις εσωτερικές διεργασίες, μπορεί να χρειαστούν έως και 5 λεπτά για να συγχρονιστούν.

    • Η δημιουργία συντομεύσεων σχήματος ενδέχεται να προκαλέσει ένα γνωστό σφάλμα που επηρεάζει την επικύρωση και καθυστερεί τον συγχρονισμό μετα-δεδομένων.

  • Προσωρινή αποθήκευση διακριτικών λειτουργίας με ανάθεση: Στη λειτουργία ανάθεσης, το τελικό σημείο ανάλυσης SQL αποθηκεύει προσωρινά το διακριτικό πρόσβασης χώρου αποθήκευσης που χρησιμοποιείται για την ανάκτηση δεδομένων από το OneLake για λογαριασμό της ταυτότητας του κατόχου. Εάν αλλάξουν τα δικαιώματα του κατόχου, ένα διακριτικό που είχε εκδοθεί προηγουμένως μπορεί να παραμείνει έγκυρο μέχρι να λήξει. Ως αποτέλεσμα, οι αλλαγές πρόσβασης που συνδέονται με την ταυτότητα κατόχου ενδέχεται να μην τεθούν σε ισχύ αμέσως και μπορούν να διατηρηθούν μέχρι τη λήξη του διακριτικού, συνήθως έως 30–60 λεπτά.

  • Οι αλλαγές στις πολιτικές GRANT/DENY ασφαλείας OneLake επιβάλλονται αμέσως και δεν καθυστερούν από την προσωρινή αποθήκευση διακριτικών αποθήκευσης.

  • Ακύρωση ενεργού ερωτήματος: Για να διατηρηθεί η ακεραιότητα και η ασφάλεια των δεδομένων, τα ενεργά ερωτήματα ενδέχεται να ακυρωθούν αυτόματα εάν αλλάξει μια διαμόρφωση συντόμευσης κατά την εκτέλεση.

  • Row-Level Περιορισμοί ασφαλείας (RLS):

    • Για τη δημόσια προεπισκόπηση, υποστηρίζονται μόνο πίνακες μίας έκφρασης. Το δυναμικό RLS και το RLS πολλών πινάκων δεν είναι διαθέσιμα.

    • Η απόρριψη μιας στήλης που χρησιμοποιείται σε μια παράσταση φίλτρου καθυστερεί τον συγχρονισμό μετα-δεδομένων μέχρι να διορθωθεί το RLS στον πίνακα ασφαλείας OneLake.

  • Πολυπλοκότητα ρόλων και συγχρονισμός μετα-δεδομένων: Η υψηλή πολυπλοκότητα στους ρόλους ασφαλείας, ειδικά σε αυτούς που περιλαμβάνουν πολλές διασταυρώσεις και σημασιολογία ένωσης με χρήση RLS, μπορεί να προκαλέσει την αποτυχία του συγχρονισμού ασφαλείας. Ένας αποτυχημένος συγχρονισμός ασφαλείας αποτρέπει την εφαρμογή πολιτικών ασφαλείας και αποκλείει τη δυνατότητα συγχρονισμού μετα-δεδομένων.

  • Περιορισμοί σχήματος και ρόλων:

    • Μετονομασίες: Οι ρόλοι ασφαλείας OneLake συνδέονται με το όνομα του πίνακα. Η μετονομασία ενός πίνακα διακόπτει τη συσχέτιση και οι πολιτικές δεν μετεγκαθίστανται αυτόματα. Αυτό μπορεί να οδηγήσει σε ακούσια έκθεση δεδομένων έως ότου εφαρμοστούν εκ νέου οι πολιτικές.

    • Όρια χαρακτήρων: Τα ονόματα ρόλων ασφαλείας OneLake δεν μπορούν να υπερβαίνουν τους 124 χαρακτήρες. Διαφορετικά, η δημιουργία ρόλων ή ο συγχρονισμός αποτυγχάνει στο τελικό σημείο ανάλυσης SQL.

    • OLS_ Τροποποιήσεις ρόλων: Οι αλλαγές χρήστη στους OLS_ ρόλους δεν υποστηρίζονται και μπορεί να προκαλέσουν απροσδόκητες συμπεριφορές.

  • Μη υποστηριζόμενες ταυτότητες: Οι ομάδες ασφαλείας και οι λίστες διανομής με δυνατότητα αλληλογραφίας δεν υποστηρίζονται προς το παρόν.

  • Απαιτήσεις ιδιοκτήτη Lakehouse:

    • Ο κάτοχος του lakehouse πρέπει να είναι μέλος των ρόλων χώρου εργασίας Διαχειριστής, Μέλος ή Συνεργάτης. Διαφορετικά, η ασφάλεια δεν εφαρμόζεται στο τελικό σημείο ανάλυσης SQL.

    • Ο κάτοχος του lakehouse δεν μπορεί να είναι κύριος υπηρεσίας για να λειτουργήσει ο συγχρονισμός ασφαλείας.

Σχετικό περιεχόμενο

  • Last updated on