Adatok védelme Fabric, Compute Engines és OneLake használatával
A Fabric többrétegű biztonsági modellt kínál, amely egyszerűséget és rugalmasságot biztosít az adathozzáférés kezeléséhez. A biztonság beállítható egy teljes munkaterületre, az egyes elemekre vagy az egyes Hálómotorok részletes engedélyeinek használatával.
A részletes motorengedélyek lehetővé teszik a részletes hozzáférés-vezérlést, például a táblázatot, az oszlopot és a sorszintű biztonságot. Ezek a részletes engedélyek az adott motoron futtatott lekérdezésekre vonatkoznak. A különböző motorok különböző részletes biztonsági típusokat támogatnak, így az egyes motorok kifejezetten a célfelhasználók számára lesznek testre szabva.
Hálóadatok biztonsága
A Háló munkaterületek és elemek használatával szabályozza az adathozzáférést. A munkaterületeken az adatok hálóelemek formájában jelennek meg, és a felhasználók csak akkor tekinthetik meg és használhatják az elemek adatait, ha ön hozzáférést ad nekik a munkaterülethez.
A munkaterület engedélyei hozzáférést biztosítanak a munkaterület összes eleméhez. Ezzel szemben a Hálóelem-engedélyek lehetővé teszik bizonyos elemek, például tóházak, raktárak vagy jelentések elérését. Rendszergazda meg tudják határozni, hogy a felhasználó melyik hálóelemet használhatja. Például korlátozhatja az adatokhoz való hozzáférést az Analytics SQL-végponton keresztül, miközben közvetlenül a Lakehouse-on vagy a OneLake API-on keresztül is hozzáférést biztosít ugyanazokhoz az adatokhoz.
További információ az adathozzáférés szabályozásáról a Fabric Workspace és az Elem engedélyekkel a Microsoft biztonságában .
Motorspecifikus adatbiztonság
Számos Fabric-motor lehetővé teszi a részletes hozzáférés-vezérlést, például a táblázat, az oszlop és a sorszintű biztonságot. A Fabric egyes számítási motorjai saját biztonsági modellekkel rendelkeznek. A Fabric Warehouse például lehetővé teszi a felhasználók számára a hozzáférést T-SQL-utasítások használatával. A számításspecifikus biztonság mindig érvényesítve van, amikor az adatokhoz a motor használatával fér hozzá. Előfordulhat, hogy a számítási motor biztonsága nem vonatkozik bizonyos Fabric-szerepkörökben lévő felhasználókra, amikor közvetlenül hozzáférnek a OneLake-hez.
További információ a motorspecifikus részletes adatbiztonságról:
- Adattárház-biztonság
- A Power BI és a biztonság
- Data Factory – A Lakehouse Csatlakozás ion beállítása
- Valós idejű intelligencia sorszintű biztonsága
OneLake adathozzáférési szerepkörök (előzetes verzió)
A OneLake adathozzáférési szerepkörei (előzetes verzió) lehetővé teszik a felhasználók számára, hogy egyéni szerepköröket hozzanak létre egy tóházban, és olvasási engedélyeket csak a megadott mappáknak adjanak meg a OneLake elérésekor. Az egyes OneLake-szerepkörökhöz a felhasználók felhasználókat, biztonsági csoportokat rendelhetnek hozzá, vagy automatikus hozzárendelést adhatnak a munkaterületi szerepkör alapján.
További információ a OneLake adathozzáférés-vezérlési modelljéről és az adathozzáférés használatának első lépéseiről.
Billentyűparancsok biztonsága
A Microsoft Fabric billentyűparancsai lehetővé teszik az egyszerűbb adatkezelést. A OneLake Mappa biztonsága a OneLake-parancsikonokra vonatkozik a lakehouse-ban definiált szerepkörök alapján, ahol az adatok tárolása történik.
A parancsikonok biztonsági szempontjairól a OneLake hozzáférés-vezérlési modelljében olvashat bővebben. A billentyűparancsokról itt talál további információt.
Hitelesítés
A OneLake a Microsoft Entra-azonosítót használja a hitelesítéshez; segítségével engedélyeket adhat a felhasználói identitásokhoz és a szolgáltatásnevekhez. A OneLake automatikusan kinyeri a felhasználói identitást a Microsoft Entra-hitelesítést használó eszközökből, és megfelelteti a Fabric portálon beállított engedélyeknek.
Feljegyzés
Ha szolgáltatásneveket szeretne használni egy Háló-bérlőben, a bérlői rendszergazdának engedélyeznie kell a szolgáltatásnévneveket (SPN-eket) a teljes bérlő vagy adott biztonsági csoport számára. További információ a szolgáltatásnevek engedélyezéséről a bérlői Rendszergazda portál fejlesztői Gépház
Inaktív adatok
A OneLake-ben tárolt adatok alapértelmezés szerint inaktív állapotban vannak titkosítva a Microsoft által felügyelt kulccsal. A Microsoft által felügyelt kulcsok megfelelően vannak elforgatva. A OneLake-ben lévő adatok titkosítása és visszafejtése transzparens módon történik, és FIPS 140-2-kompatibilis.
Az ügyfél által felügyelt kulccsal történő inaktív titkosítás jelenleg nem támogatott. A funkcióra vonatkozó kérelmet a Microsoft Fabric Ideasben küldheti el.
Átvitt adatok
Az Microsoft-szolgáltatások közötti nyilvános interneten áthaladó adatok mindig legalább TLS 1.2-vel titkosítva lesznek. A Fabric lehetőség szerint egyeztet a TLS 1.3-ra. A Microsoft-szolgáltatások közötti forgalom mindig a Microsoft globális hálózatán halad át.
A bejövő OneLake-kommunikáció a TLS 1.2-t is kikényszeríti, és lehetőség szerint egyeztet a TLS 1.3-ra. Az ügyfél tulajdonában lévő infrastruktúrával folytatott kimenő háló-kommunikáció a biztonságos protokollokat részesíti előnyben, de előfordulhat, hogy az újabb protokollok támogatása nélkül visszaáll a régebbi, nem biztonságos protokollokra (beleértve a TLS 1.0-t).
Privát kapcsolatok
A Fabric jelenleg nem támogatja a OneLake-adatokhoz való privát kapcsolat elérését nem Fabric-termékeken és Sparkon keresztül.
A Hálón kívül futó alkalmazások hozzáférésének engedélyezése az adatokhoz a OneLake-en keresztül
A OneLake lehetővé teszi a Fabric-környezeteken kívül futó alkalmazások adataihoz való hozzáférés korlátozását. Rendszergazda megtalálja a beállítást a A bérlői Rendszergazda portál OneLake szakasza. Ha bekapcsolja ezt a kapcsolót, a felhasználók az összes forráson keresztül hozzáférhetnek az adatokhoz. Ha kikapcsolja a kapcsolót, a felhasználók nem férhetnek hozzá az adatokhoz a Fabric-környezeteken kívül futó alkalmazásokon keresztül. A felhasználók például olyan alkalmazásokon keresztül férhetnek hozzá az adatokhoz, mint az Azure Databricks, az Azure Data Lake Storage (ADLS) API-kat használó egyéni alkalmazások vagy a OneLake fájlkezelő.
Kapcsolódó tartalom
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: