Sécurité OneLake

  • Article

OneLake utilise un modèle de sécurité en couches construit autour de la structure organisationnelle des composants au sein de Microsoft Fabric. La sécurité est dérivée de l’authentification Azure Active Directory (Azure AD) et est compatible avec les identités utilisateur, les principaux de service et les identités managées. À l’aide des composants Azure AD et Fabric, vous pouvez créer des mécanismes de sécurité robustes dans OneLake, garantissant ainsi la sécurité de vos données tout en réduisant les copies et en réduisant la complexité.

Diagramme montrant la structure d’un lac de données se connectant à des conteneurs sécurisés séparément.

Important

Microsoft Fabric est actuellement en préversion. Certaines informations portent sur un produit en préversion susceptible d’être substantiellement modifié avant sa publication. Microsoft ne donne aucune garantie, expresse ou implicite, concernant les informations fournies ici.

Sécurité de l’espace de travail

L’espace de travail est la principale limite de sécurité pour les données dans OneLake. Chaque espace de travail représente un domaine ou une zone de projet unique dans lequel les équipes peuvent collaborer sur des données. La sécurité dans l’espace de travail est gérée via les rôles d’espace de travail Fabric. En savoir plus sur le contrôle d’accès en fonction du rôle (RBAC) de l’infrastructure : rôles d’espace de travail

Les rôles d’espace de travail dans Fabric accordent les autorisations suivantes dans OneLake.

Fonctionnalité Administrateur Membre Contributeur Observateur
Afficher les fichiers dans OneLake Oui Oui Oui Non
Écrire des fichiers dans OneLake Oui Oui Oui Non

Sécurité spécifique au calcul

Certains moteurs de calcul dans Fabric ont leurs propres modèles de sécurité. Par exemple, Fabric Warehouse permet aux utilisateurs de définir l’accès à l’aide d’instructions T-SQL. La sécurité spécifique au calcul est toujours appliquée lorsque vous accédez aux données à l’aide de ce moteur, mais ces conditions peuvent ne pas s’appliquer aux utilisateurs de certains rôles d’infrastructure lorsqu’ils accèdent directement à OneLake. Pour plus d’informations sur les types de sécurité de calcul pouvant être définis, consultez la documentation relative à l’entrepôt, à l’analytique en temps réel et aux jeux de données Power BI.

En règle générale, les utilisateurs du rôle Visionneuse ne peuvent accéder aux données que via certains moteurs de calcul et toutes les règles de sécurité définies dans ces moteurs s’appliquent. Tous les autres rôles ont un accès direct à OneLake, ce qui leur permet d’interroger des données via Spark, des API ou un Explorateur de fichiers OneLake. Toutefois, la sécurité spécifique au calcul s’applique toujours à ces utilisateurs lors de l’accès aux données via ce moteur de calcul.

Exemple: Martha est administrateur d’un espace de travail Fabric et Pradeep est une visionneuse. Martha souhaite restreindre l’accès à certaines tables dans LakehouseA. Elle se connecte à SQL et définit la sécurité au niveau de l’objet à l’aide d’instructions GRANT et DENY. Lorsque Pradeep accède aux données via SQL, il ne peut voir que les tables de LakehouseA auxquelles l’accès lui a été accordé.

Sécurité des raccourcis

Les raccourcis dans Microsoft Fabric permettent une gestion des données considérablement simplifiée, mais ont quelques considérations de sécurité à prendre en compte. Pour plus d’informations sur la gestion de la sécurité des raccourcis, consultez ce document.

Authentication

OneLake utilise Azure Active Directory (Azure AD) pour l’authentification ; vous pouvez l’utiliser pour accorder des autorisations aux identités d’utilisateur et aux principaux de service. OneLake extrait automatiquement l’identité utilisateur des outils qui utilisent l’authentification Azure AD et la mappe aux autorisations que vous avez définies dans le portail Fabric.

Notes

Pour utiliser des principaux de service dans un locataire Fabric, un administrateur de locataire doit activer les noms de principal de service (SPN) pour l’ensemble du locataire ou des groupes de sécurité spécifiques.

Capture d’écran montrant les options Paramètres du développeur dans l’écran Paramètre de locataire.

Fabric ne prend actuellement pas en charge l’accès de liaison privée aux données OneLake via des produits non-Fabric et Spark.

Autoriser les applications exécutées en dehors de Fabric à accéder aux données via OneLake

OneLake offre la possibilité de restreindre l’accès aux données des applications exécutées en dehors des environnements Fabric. Les administrateurs peuvent trouver le paramètre dans le portail d’administration du locataire. Lorsque ce commutateur est activé, les données sont accessibles via toutes les sources. Lorsque ce commutateur est désactivé, les données ne sont pas accessibles via les applications exécutées en dehors des environnements Fabric. Par exemple, les données peuvent être accessibles via des applications telles qu’Azure Databricks, des applications personnalisées utilisant des API ADLS ou l’Explorateur de fichiers OneLake.

Étapes suivantes