Jaa

OneLake-suojauksen yleiskatsaus

  • Artikkeli

OneLake on hierarkkinen Data Lake -tallennustila, kuten Azure Data Lake Storage (ADLS) Gen2 tai Windows-tiedostojärjestelmä. Tämän rakenteen avulla voit määrittää suojauksen hierarkian eri tasoilla käyttöoikeuksien hallitsemiseksi. Joitakin hierarkian tasoja käsitellään erityisesti, koska ne korreloivat Fabric-käsitteiden kanssa.

  • Työtila: yhteistyöympäristö kohteiden luomiseen ja hallintaan.

  • Kohde: joukko ominaisuuksia, jotka on niputettu yhteen komponenttiin. Tietokohde on kohteen alatyyppi, jonka avulla tiedot voidaan tallentaa siihen OneLaken avulla.

  • Kansiot: kohteen sisäiset kansiot, joita käytetään tietojen tallentamiseen ja hallintaan.

Kohteet ovat aina suoraan OneLake-nimitilassa työtiloissa ja työtiloissa. Voit visualisoida tämän rakenteen seuraavasti:

Kaavio, joka näyttää OneLaken hierarkkisen luonteen kansiorakenteena. Esimerkkinä onelake/työtila/kohde.

Työtilan käyttöoikeudet

Työtilan käyttöoikeuksien avulla voit määrittää käyttöoikeuden kaikkiin kyseisen työtilan kohteisiin. Työtilarooleja on neljä erityyppistä roolia, joista jokainen myöntää erityyppiset käyttöoikeudet.

Rooli Voiko järjestelmänvalvojia lisätä? Voiko jäseniä lisätä? Voiko tietoja kirjoittaa ja luoda kohteita? Osaako lukea tietoja?
Järjestelmänvalvoja Kyllä Kyllä Kyllä Kyllä
Jäsen Ei Kyllä Kyllä Kyllä
Osallistuja En No Kyllä Kyllä
Katselija En No No Kyllä

Muistiinpano

Voit tarkastella Warehouse-kohdetta luku/kirjoitusrooleilla, mutta voit kirjoittaa varastoihin vain SQL-kyselyiden avulla.

Voit yksinkertaistaa Fabric-työtilaroolien hallintaa määrittämällä ne käyttöoikeusryhmille. Tämän menetelmän avulla voit hallita käyttöoikeuksia lisäämällä tai poistamalla jäseniä käyttöoikeusryhmästä.

Kohteen käyttöoikeudet

Jakamisominaisuuden avulla voit antaa käyttäjälle suoran käyttöoikeuden kohteeseen. Käyttäjä voi nähdä kyseisen kohteen vain työtilassa eikä hän ole minkään työtilaroolin jäsen. Kohteen käyttöoikeudet myöntävät käyttöoikeuden yhteyden muodostamiseen kyseiseen kohteeseen ja siihen, mitä kohteen päätepisteitä käyttäjä voi käyttää.

Oikeus Näetkö kohteen metatiedot? Näetkö tietoja SQL:ssä? Näytä tiedot OneLakessa
Luettu Kyllä No En
ReadData Ei Kyllä En
ReadAll En En Kyllä*

*Ei käytettävissä kohteille, joissa on käytössä OneLake-tietojen käyttöoikeusroolit (esikatselu). Jos esikatselu on käytössä, ReadAll myöntää käyttöoikeuden vain, jos DefaultReader-rooli on käytössä. Jos roolia muokataan tai poistetaan, käyttöoikeus myönnetään sen sijaan sen mukaan, mihin tietojen käyttörooleihin käyttäjä kuuluu.

Toinen tapa määrittää käyttöoikeudet on kohteen Käyttöoikeuksien hallinta -sivun kautta. Tämän sivun avulla voit lisätä tai poistaa yksittäisen kohteen käyttöoikeuden käyttäjille tai ryhmille. Kohdetyyppi määrittää tarkat käytettävissä olevat käyttöoikeudet.

Käsittelyoikeudet

Tietojen käyttö voidaan tehdä myös Microsoft Fabricin SQL-laskentamoduulin kautta. SQL:n kautta myönnetty käyttöoikeus koskee vain käyttäjiä, jotka käyttävät tietoja SQL:n kautta, mutta tämän suojauksen avulla voit antaa tietyille käyttäjille valikoivamman käyttöoikeuden. Nykyisessä tilassaan SQL tukee tiettyjen taulukoiden ja rakenteet käyttöoikeuksien sekä rivi- ja saraketason suojauksen rajoittamista.

Käyttäjät, jotka käyttävät tietoja SQL:n kautta, saattavat nähdä eri tuloksia kuin tietojen käyttö suoraan OneLakessa käytettyjen käsittelyoikeuksien mukaan. Voit estää tämän varmistamalla, että käyttäjän kohteen käyttöoikeudet on määritetty siten, että he saavat käyttöoikeuden vain SQL-analytiikan päätepisteeseen (ReadDatan avulla) tai OneLakeen (ReadAll-funktion tai tietojen käyttöroolien esikatselun avulla).

Seuraavassa esimerkissä käyttäjälle annetaan vain luku -oikeus lakehouse-järjestelmään kohteen jakamisen kautta. Käyttäjälle myönnetään taulukon SELECT-käyttöoikeus SQL-analytiikan päätepisteen kautta. Kun kyseinen käyttäjä yrittää lukea tietoja OneLake-ohjelmointirajapintojen kautta, häneltä evättiin käyttö, koska heillä ei ole riittäviä käyttöoikeuksia. Käyttäjä voi lukea SQL SELECT -lausekkeiden kautta.

Kaavio, jossa näkyy käyttäjä, joka käyttää tietoja SQL:n kautta, mutta jolla ei ole käyttöoikeutta, kun hän kyselee suoraan OneLakesta.

OneLake-tietojen käyttöroolit (esiversio)

OneLake-tietojen käyttöroolit ovat uusi ominaisuus, jonka avulla voit käyttää roolipohjaista käyttöoikeuksien hallintaa OneLakeen tallennetuissa tiedoissa. Voit määrittää käyttöoikeusrooleja, jotka myöntävät lukuoikeuden tiettyihin Fabric-kohteen kansioihin ja määrittävät ne käyttäjille tai ryhmille. Käyttöoikeudet määrittävät, mitä kansioita käyttäjät näkevät käyttäessään tietojen Lake-näkymää Lakehouse UX:n, muistikirjojen tai OneLake-ohjelmointirajapintojen kautta.

Järjestelmänvalvoja-, Jäsen- tai Osallistuja-roolien fabric-käyttäjät voivat aloittaa luomalla OneLake-tietojen käyttöoikeusrooleja myöntääkseen käyttöoikeuden vain tiettyihin Lakehousen kansioihin. Lakehouse-tietojen käyttöoikeuksien myöntämiseksi lisätään käyttäjiä tietojen käyttörooliin. Käyttäjät, jotka eivät kuulu tietojen käyttörooliin, eivät näe mitään tietoja kyseisessä Lakehousessa.

Lue lisätietoja tietojen käyttöroolien luomisesta Käytön aloittamisen roolien käytön aloittaminen -kohdassa.

Lue lisätietoja käyttöoikeusmallista käyttöoikeusrooleilleTietohallinnan malli.

Pikakuvakkeen suojaus

Microsoft Fabric -pikakuvakkeet mahdollistavat tietojen yksinkertaisen hallinnan, mutta niissä on joitakin huomioitavia suojausnäkökohtia. Lisätietoja pikakuvakkeiden suojauksen hallinnasta on tässä asiakirjassa.

OneLake-tietojen käyttörooleissa (esikatselu) pikakuvakkeet saavat erityiskäsittelyä pikakuvaketyypin mukaan. OneLake-pikakuvakkeen käyttöoikeuksia hallitaan aina pikakuvakkeen kohteen käyttöoikeusrooleilla. Tämä tarkoittaa sitä, että LakehouseA:n ja LakehouseB:n pikakuvakkeella LakehouseB:n turvallisuus astuu voimaan. LakehouseA:n tietojen käyttörooleihin ei voi myöntää tai muokata LakehouseB-pikakuvakkeen suojausta.

Amazon S3- tai ADLS Gen2 -järjestelmän ulkoisille pikanäppäimille suojaus määritetään itse lakehousen tietojenkäyttöroolien kautta. LakehouseAsta S3-säilöön siirtymisen pikakuvakkeilla voi olla LakehouseA:ssa määritettyjä tietojen käyttörooleja. On tärkeää huomata, että suojaus voi olla käytössä vain pikakuvakkeen päätasolla. Käyttöoikeuden määrittäminen pikakuvakkeen alikansioihin aiheuttaa roolien luontivirheitä.

Lue lisätietoja pikakuvakkeiden suojausmallista tietojen käytön hallintamallista

Liittyvä sisältö