Share via

Adatok védelme Fabric, Compute Engines és OneLake használatával

  • Cikk

A Fabric többrétegű biztonsági modellt kínál, amely egyszerűséget és rugalmasságot biztosít az adathozzáférés kezeléséhez. A biztonság beállítható egy teljes munkaterületre, az egyes elemekre vagy az egyes Hálómotorok részletes engedélyeinek használatával.

A részletes motorengedélyek lehetővé teszik a részletes hozzáférés-vezérlést, például a táblázatot, az oszlopot és a sorszintű biztonságot. Ezek a részletes engedélyek az adott motoron futtatott lekérdezésekre vonatkoznak. A különböző motorok különböző részletes biztonsági típusokat támogatnak, így az egyes motorok kifejezetten a célfelhasználók számára lesznek testre szabva.

A Fabric, a Compute Engines és a OneLake különböző biztonsági rétegeit bemutató ábra.

Hálóadatok biztonsága

A Háló munkaterületek és elemek használatával szabályozza az adathozzáférést. A munkaterületeken az adatok hálóelemek formájában jelennek meg, és a felhasználók csak akkor tekinthetik meg és használhatják az elemek adatait, ha ön hozzáférést ad nekik a munkaterülethez.

A munkaterület engedélyei hozzáférést biztosítanak a munkaterület összes eleméhez. Ezzel szemben a Hálóelem-engedélyek lehetővé teszik bizonyos elemek, például tóházak, raktárak vagy jelentések elérését. Rendszergazda meg tudják határozni, hogy a felhasználó melyik hálóelemet használhatja. Például korlátozhatja az adatokhoz való hozzáférést az Analytics SQL-végponton keresztül, miközben közvetlenül a Lakehouse-on vagy a OneLake API-on keresztül is hozzáférést biztosít ugyanazokhoz az adatokhoz.

További információ az adathozzáférés szabályozásáról a Fabric Workspace és az Elem engedélyekkel a Microsoft biztonságában .

Motorspecifikus adatbiztonság

Számos Fabric-motor lehetővé teszi a részletes hozzáférés-vezérlést, például a táblázat, az oszlop és a sorszintű biztonságot. A Fabric egyes számítási motorjai saját biztonsági modellekkel rendelkeznek. A Fabric Warehouse például lehetővé teszi a felhasználók számára a hozzáférést T-SQL-utasítások használatával. A számításspecifikus biztonság mindig érvényesítve van, amikor az adatokhoz a motor használatával fér hozzá. Előfordulhat, hogy a számítási motor biztonsága nem vonatkozik bizonyos Fabric-szerepkörökben lévő felhasználókra, amikor közvetlenül hozzáférnek a OneLake-hez.

További információ a motorspecifikus részletes adatbiztonságról:

OneLake adathozzáférési szerepkörök (előzetes verzió)

A OneLake adathozzáférési szerepkörei (előzetes verzió) lehetővé teszik a felhasználók számára, hogy egyéni szerepköröket hozzanak létre egy tóházban, és olvasási engedélyeket csak a megadott mappáknak adjanak meg a OneLake elérésekor. Az egyes OneLake-szerepkörökhöz a felhasználók felhasználókat, biztonsági csoportokat rendelhetnek hozzá, vagy automatikus hozzárendelést adhatnak a munkaterületi szerepkör alapján.

A különállóan védett tárolókhoz csatlakozó data lake szerkezetét bemutató ábra.

További információ a OneLake adathozzáférés-vezérlési modelljéről és az adathozzáférés használatának első lépéseiről.

Billentyűparancsok biztonsága

A Microsoft Fabric billentyűparancsai lehetővé teszik az egyszerűbb adatkezelést. A OneLake Mappa biztonsága a OneLake-parancsikonokra vonatkozik a lakehouse-ban definiált szerepkörök alapján, ahol az adatok tárolása történik.

A parancsikonok biztonsági szempontjairól a OneLake hozzáférés-vezérlési modelljében olvashat bővebben. A billentyűparancsokról itt talál további információt.

Hitelesítés

A OneLake a Microsoft Entra-azonosítót használja a hitelesítéshez; segítségével engedélyeket adhat a felhasználói identitásokhoz és a szolgáltatásnevekhez. A OneLake automatikusan kinyeri a felhasználói identitást a Microsoft Entra-hitelesítést használó eszközökből, és megfelelteti a Fabric portálon beállított engedélyeknek.

Feljegyzés

Ha szolgáltatásneveket szeretne használni egy Háló-bérlőben, a bérlői rendszergazdának engedélyeznie kell a szolgáltatásnévneveket (SPN-eket) a teljes bérlő vagy adott biztonsági csoport számára. További információ a szolgáltatásnevek engedélyezéséről a bérlői Rendszergazda portál fejlesztői Gépház

Inaktív adatok

A OneLake-ben tárolt adatok alapértelmezés szerint inaktív állapotban vannak titkosítva a Microsoft által felügyelt kulccsal. A Microsoft által felügyelt kulcsok megfelelően vannak elforgatva. A OneLake-ben lévő adatok titkosítása és visszafejtése transzparens módon történik, és FIPS 140-2-kompatibilis.

Az ügyfél által felügyelt kulccsal történő inaktív titkosítás jelenleg nem támogatott. A funkcióra vonatkozó kérelmet a Microsoft Fabric Ideasben küldheti el.

Átvitt adatok

Az Microsoft-szolgáltatások közötti nyilvános interneten áthaladó adatok mindig legalább TLS 1.2-vel titkosítva lesznek. A Fabric lehetőség szerint egyeztet a TLS 1.3-ra. A Microsoft-szolgáltatások közötti forgalom mindig a Microsoft globális hálózatán halad át.

A bejövő OneLake-kommunikáció a TLS 1.2-t is kikényszeríti, és lehetőség szerint egyeztet a TLS 1.3-ra. Az ügyfél tulajdonában lévő infrastruktúrával folytatott kimenő háló-kommunikáció a biztonságos protokollokat részesíti előnyben, de előfordulhat, hogy az újabb protokollok támogatása nélkül visszaáll a régebbi, nem biztonságos protokollokra (beleértve a TLS 1.0-t).

A Fabric jelenleg nem támogatja a OneLake-adatokhoz való privát kapcsolat elérését nem Fabric-termékeken és Sparkon keresztül.

A Hálón kívül futó alkalmazások hozzáférésének engedélyezése az adatokhoz a OneLake-en keresztül

A OneLake lehetővé teszi a Fabric-környezeteken kívül futó alkalmazások adataihoz való hozzáférés korlátozását. Rendszergazda megtalálja a beállítást a A bérlői Rendszergazda portál OneLake szakasza. Ha bekapcsolja ezt a kapcsolót, a felhasználók az összes forráson keresztül hozzáférhetnek az adatokhoz. Ha kikapcsolja a kapcsolót, a felhasználók nem férhetnek hozzá az adatokhoz a Fabric-környezeteken kívül futó alkalmazásokon keresztül. A felhasználók például olyan alkalmazásokon keresztül férhetnek hozzá az adatokhoz, mint az Azure Databricks, az Azure Data Lake Storage (ADLS) API-kat használó egyéni alkalmazások vagy a OneLake fájlkezelő.

Kapcsolódó tartalom