Adatok védelme Fabric, Compute Engines és OneLake használatával
A Fabric többrétegű biztonsági modellt kínál az adathozzáférés kezeléséhez. A biztonság beállítható egy teljes munkaterületre, az egyes elemekre vagy az egyes Hálómotorok részletes engedélyeinek használatával. A OneLake-nek saját biztonsági szempontjai vannak, amelyeket ebben a dokumentumban ismertetünk.
OneLake adathozzáférési szerepkörök (előzetes verzió)
A OneLake adathozzáférési szerepkörei (előzetes verzió) lehetővé teszik a felhasználók számára, hogy egyéni szerepköröket hozzanak létre egy tóházban, és olvasási engedélyeket csak a megadott mappáknak adjanak meg a OneLake elérésekor. Az egyes OneLake-szerepkörökhöz a felhasználók felhasználókat, biztonsági csoportokat rendelhetnek hozzá, vagy automatikus hozzárendelést adhatnak a munkaterületi szerepkör alapján.
További információ a OneLake adathozzáférés-vezérlési modelljéről és az adathozzáférés használatának első lépéseiről.
Billentyűparancsok biztonsága
A Microsoft Fabric billentyűparancsai lehetővé teszik az egyszerűbb adatkezelést. A OneLake Mappa biztonsága a OneLake-parancsikonokra vonatkozik a lakehouse-ban definiált szerepkörök alapján, ahol az adatok tárolása történik.
A parancsikonok biztonsági szempontjairól a OneLake hozzáférés-vezérlési modelljében olvashat bővebben. A billentyűparancsokról itt talál további információt.
Hitelesítés
A OneLake a Microsoft Entra-azonosítót használja a hitelesítéshez; segítségével engedélyeket adhat a felhasználói identitásokhoz és a szolgáltatásnevekhez. A OneLake automatikusan kinyeri a felhasználói identitást a Microsoft Entra-hitelesítést használó eszközökből, és megfelelteti a Fabric portálon beállított engedélyeknek.
Feljegyzés
Ha szolgáltatásneveket szeretne használni egy Háló-bérlőben, a bérlői rendszergazdának engedélyeznie kell a szolgáltatásnévneveket (SPN-eket) a teljes bérlő vagy adott biztonsági csoport számára. További információ a szolgáltatásnevek engedélyezéséről a bérlői felügyeleti portál fejlesztői beállításaiban
Inaktív adatok
A OneLake-ben tárolt adatok alapértelmezés szerint inaktív állapotban vannak titkosítva a Microsoft által felügyelt kulccsal. A Microsoft által felügyelt kulcsok megfelelően vannak elforgatva. A OneLake-ben lévő adatok titkosítása és visszafejtése transzparens módon történik, és FIPS 140-2-kompatibilis.
Az ügyfél által felügyelt kulccsal történő inaktív titkosítás jelenleg nem támogatott. A funkcióra vonatkozó kérelmet a Microsoft Fabric Ideasben küldheti el.
Átvitt adatok
Az Microsoft-szolgáltatások közötti nyilvános interneten áthaladó adatok mindig legalább TLS 1.2-vel titkosítva lesznek. A Fabric lehetőség szerint egyeztet a TLS 1.3-ra. A Microsoft-szolgáltatások közötti forgalom mindig a Microsoft globális hálózatán halad át.
A bejövő OneLake-kommunikáció a TLS 1.2-t is kikényszeríti, és lehetőség szerint egyeztet a TLS 1.3-ra. Az ügyfél tulajdonában lévő infrastruktúrával folytatott kimenő háló-kommunikáció a biztonságos protokollokat részesíti előnyben, de előfordulhat, hogy az újabb protokollok támogatása nélkül visszaáll a régebbi, nem biztonságos protokollokra (beleértve a TLS 1.0-t).
Privát kapcsolatok
A Fabric jelenleg nem támogatja a OneLake-adatokhoz való privát kapcsolat elérését a nem Fabric-termékeken és az Apache Sparkon keresztül.
A Hálón kívül futó alkalmazások hozzáférésének engedélyezése az adatokhoz a OneLake-en keresztül
A OneLake lehetővé teszi a Fabric-környezeteken kívül futó alkalmazások adataihoz való hozzáférés korlátozását. A rendszergazdák a bérlői felügyeleti portál OneLake szakaszában találják meg a beállítást. Ha bekapcsolja ezt a kapcsolót, a felhasználók az összes forráson keresztül hozzáférhetnek az adatokhoz. Ha kikapcsolja a kapcsolót, a felhasználók nem férhetnek hozzá az adatokhoz a Fabric-környezeteken kívül futó alkalmazásokon keresztül. A felhasználók például az Azure Data Lake Storage (ADLS) API-k vagy a OneLake fájlkezelő használatával férhetnek hozzá az adatokhoz alkalmazásokon keresztül.