Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A OneLake közös hozzáférésű jogosultságkód (SAS) biztonságos, rövid távú és delegált hozzáférést biztosít a OneLake-beli erőforrásokhoz. A OneLake SAS használatával részletesen szabályozhatja, hogy az ügyfél hogyan férhet hozzá az adataihoz. Példa:
- Milyen erőforrásokhoz férhet hozzá az ügyfél.
- Milyen engedélyekkel rendelkeznek az erőforrásokhoz.
- Az SAS érvényességének hossza.
Minden OneLake SAS(és felhasználódelegálási kulcs) mindig Microsoft Entra-identitással van alátámasztva, maximális élettartama 1 óra, és csak egy adatelem mappáihoz és fájljaihoz, például egy lakehouse-hoz tud hozzáférést biztosítani.
A közös hozzáférésű jogosultságkód működése
A megosztott hozzáférési aláírás egy token, amely hozzá van csatolva a OneLake erőforrás URI-jához. A jogkivonat egy speciális lekérdezési paramétereket tartalmaz, amelyek jelzik, hogy az ügyfél hogyan férhet hozzá az erőforráshoz. A lekérdezési paraméterek egyike az aláírás. Az SAS-paraméterekből lett létrehozva, és az SAS létrehozásához használt kulccsal van aláírva. A OneLake ezzel az aláírással engedélyezi a OneLake mappájának vagy fájljának elérését. A OneLake SAS ugyanazt a formátumot és tulajdonságokat használja, mint az Azure Storage felhasználó által delegált SAS, de az élettartamra és a hatókörre vonatkozó további biztonsági korlátozásokkal.
A OneLake SAS egy felhasználói delegálási kulccsal (UDK) van aláírva, amelyet egy Microsoft Entra hitelesítő adat is alátámaszt. A Felhasználódelegálási kulcs lekérése művelet segítségével felhasználói delegálási kulcsot kérhet. Ezután ezt a kulcsot (amíg még érvényes) használja a OneLake SAS létrehozásához. A Microsoft Entra hitelesítő adatainak engedélyei és az SAS számára kifejezetten megadott engedélyek határozzák meg az ügyfél erőforráshoz való hozzáférését.
OneLake SAS engedélyezése
Ha egy ügyfél vagy alkalmazás oneLake SAS-vel fér hozzá a OneLake-hez, a kérés a Microsoft Entra azon hitelesítő adataival lesz engedélyezve, amelyek az SAS létrehozásához használt UDK-t kérték. Ezért az adott Microsoft Entra-identitáshoz megadott Összes OneLake-engedély az SAS-ra vonatkozik, ami azt jelenti, hogy az SAS soha nem haladhatja meg az azt létrehozó felhasználó engedélyeit. Emellett az SAS létrehozásakor kifejezetten megadhat engedélyeket, lehetővé téve, hogy még korlátozottabb engedélyeket adjon az SAS-nek. A Microsoft Entra-identitás, a kifejezetten megadott engedélyek és a rövid élettartam között a OneLake a biztonsági ajánlott eljárásokat követi az adatokhoz való delegált hozzáférés biztosításához.
Mikor érdemes OneLake SAS-t használni?
A OneLake SAS egy Microsoft Entra-identitással ellátott biztonságos és ideiglenes hozzáférést delegál a OneLake-hez. A natív Microsoft Entra-támogatással nem rendelkező alkalmazások a OneLake SAS használatával ideiglenes hozzáférést kaphatnak az adatok betöltéséhez bonyolult beállítási és integrációs munka nélkül.
A OneLake SAS a felhasználók és adataik közötti proxyként szolgáló alkalmazásokat is támogatja. Egyes független szoftvergyártók (ISV-k) például a felhasználók és a Fabric-munkaterület között futnak, és további funkciókat és esetleg egy másik hitelesítési modellt biztosítanak. A OneLake SAS-hozzáférés delegálásával ezek az ISV-k kezelhetik a mögöttes adatokhoz való hozzáférést, és közvetlen hozzáférést biztosíthatnak az adatokhoz, még akkor is, ha felhasználóik nem rendelkeznek Microsoft Entra-identitásokkal.
OneLake SAS kezelése
A Fabric-bérlőben két beállítás kezeli a OneLake SAS használatát.
Az első beállítás egy bérlőszintű beállítás, rövid élettartamú, felhasználó által delegált SAS-tokenek használata, amely kezeli a felhasználói delegálási kulcsok létrehozását. Mivel a felhasználódelegálási kulcsok bérlői szinten jönnek létre, bérlői beállítás szabályozza őket. Ez a beállítás alapértelmezés szerint be van kapcsolva, mivel ezek a felhasználói delegálási kulcsok egyenértékű engedélyekkel rendelkeznek az őket kérő Microsoft Entra-identitáshoz, és mindig rövid élettartamúak.
Feljegyzés
A funkció kikapcsolása megakadályozza, hogy az összes munkaterület használja a OneLake SAS-t, mivel minden felhasználó nem fog tudni felhasználói delegálási kulcsokat létrehozni.
A második beállítás egy delegált munkaterület-beállítás, a Hitelesítés a OneLake felhasználó által delegált SAS-jogkivonatokkal, amely azt szabályozza, hogy a munkaterület elfogadja-e a OneLake SAS-t. Ez a beállítás alapértelmezés szerint ki van kapcsolva. A munkaterület rendszergazdája bekapcsolhatja ezt a beállítást, hogy engedélyezze a OneLake SAS-vel való hitelesítést a munkaterületen. A bérlői rendszergazda a bérlői beállításon keresztül minden munkaterületen bekapcsolhatja ezt a beállítást, vagy hagyhatja, hogy a munkaterület rendszergazdái kapcsolják azt be.
A felhasználói delegálási kulcsok létrehozását a Microsoft Purview portálon is figyelheti. A bérlőjében generált összes kulcs megtekintéséhez keressen a generateonelakeudk műveletnévre. Mivel az SAS létrehozása ügyféloldali művelet, nem figyelheti és nem korlátozhatja a OneLake SAS létrehozását, csak az UDK létrehozását.
Ajánlott eljárások a OneLake SAS használatával
- Mindig HTTPS használatával hozzon létre vagy terjesszen el egy SAS-t, hogy védelmet nyújtson a közbeékelődéses támadások ellen, amelyek a SAS elfogását célozzák.
- Nyomon követheti a, a kulcs és az SAS-jogkivonat lejárati idejét. A OneLake felhasználói delegálási kulcsainak és SAS-jogkivonatainak élettartama legfeljebb 1 óra lehet. Ha UDK-t kér, vagy egy 1 óránál hosszabb élettartamú SAS-t próbál létrehozni, a kérés sikertelen lesz. Annak érdekében, hogy megakadályozza, hogy az SAS a lejáró OAuth-jogkivonatok élettartamának meghosszabbítására szolgáljon, a jogkivonat élettartamának hosszabbnak kell lennie, mint a felhasználói delegálási kulcs és az SAS lejárati ideje.
- Legyen óvatos az SAS-jogkivonat kezdési időpontjával. Az SAS kezdési idejének aktuális időpontként való beállítása az első néhány percben hibákhoz vezethet a gépek közötti eltérő kezdési időpontok (óraeltérés) miatt. Ha a kezdési időpontot néhány perccel korábbra állítja, az segít megelőzni ezeket a hibákat.
- Adja meg a lehető legkevesebb jogosultságot az SAS-nek. A minimálisan szükséges jogosultságok biztosítása a lehető legkevesebb erőforráshoz a biztonsági legjobb gyakorlatok közé tartozik, és csökkenti a hatásokat, ha egy SAS sérül.
- A felhasználói delegálási kulcsok létrehozásának figyelése. A microsoft purview portálon naplózhatja a felhasználói delegálási kulcsok létrehozását. Keresse meg a művelet nevét generateonelakeudk, hogy megtekinthesse a bérlőjében létrehozott kulcsokat.
- Ismerje meg a OneLake SAS korlátait. Mivel a OneLake SAS-jogkivonatok nem rendelkeznek munkaterületszintű engedélyekkel, nem kompatibilisek egyes Azure Storage-eszközökkel, amelyek tárolószintű engedélyeket várnak az adatok, például az Azure Storage Explorer adatátjárásához.