Adatok védelme a gyakori adatarchitektúrákhoz
Ez a cikk áttekintést nyújt arról, hogyan konfigurálhatja a OneLake-adatok biztonságát mind az adatháló, mind a küllős architektúrák esetében.
Biztonsági funkciók
A Microsoft Fabric többrétegű biztonsági modellt használ különböző szinteken elérhető különböző vezérlőkkel, hogy csak a minimálisan szükséges engedélyeket biztosítsa. Az útmutatóban tárgyalt különböző biztonsági típusokkal kapcsolatos további információkért lásd : Adathozzáférés-vezérlési modell a OneLake-ben.
Biztonságos adathálóhoz
Az adatháló egy architekturális paradigma, amely az adatokat termékként kezeli, nem pedig szolgáltatásként vagy erőforrásként. A Data Mesh célja az adatok tulajdonjogának és szabályozásának decentralizáltsá tétele a különböző tartományok és csapatok között, ugyanakkor lehetővé teszi az interoperabilitást és a felderíthetőséget egy közös platformon keresztül. Az adathálós architektúrában minden decentralizált csapat kezeli az adattermék részét képező adatok tulajdonjogát. Az ebben a szakaszban ismertetett biztonsági útmutató egyetlen adattermék-csapatra összpontosít, amely konfigurálja a munkaterülethez való hozzáférést. A lépéseket minden adattermék-csapatnak meg kell ismételnie a saját munkaterületén, mivel engedélyezik a hozzáférést az alsóbb rétegbeli felhasználók számára.
Az adathálók létrehozásának megkezdéséhez használja a Microsoft Fabric tartományfunkcióját a munkaterületek címkézésére a kapcsolódó adattermék és tulajdonjog alapján.
A tartományokon belül minden csapatnak saját munkaterülete vagy munkaterülete van. A munkaterület tárolja a végső adattermékek fogyasztásra történő létrehozásához szükséges adatokat. Hozzáférést biztosíthat a felhasználóknak a munkaterülethez munkaterületi szerepkörök használatával .
Azonosítsa az adattermékek alsóbb rétegbeli felhasználóit, és biztosítsa a hozzáférést a céljaik eléréséhez szükséges minimális engedélyeknek megfelelően. Annak érdekében, hogy a felhasználók igazodjanak a célélményükhöz, az alsóbb rétegbeli felhasználók minden típusa hozzáférést kaphat egyetlen Fabric-adatelemhez. Az alábbi táblázat néhány gyakori használati esetet mutat be az adatháló-felhasználók és a kapcsolódó Hálóelemek esetében.
| User | Hálóelemek |
|---|---|
| Adattudósok | Apache Spark-jegyzetfüzetek vagy lakehouse |
| Adatmérnökök | Apache Spark-jegyzetfüzetek, adatfolyamok vagy folyamatok |
| Üzleti elemzők | SQL-végpont |
| Jelentéskészítők | Szemantikai modellek |
| Jelentésfelhasználók | Power BI-jelentések |
Küllős és küllős biztonság
A küllős architektúra abban különbözik az adathálótól, hogy az összes minősített adatterméket egyetlen, központi tulajdonú helyen kezelik. A továbbfelhasználók kevésbé összpontosítanak további adattermékek létrehozására, és inkább a központi csapat által előállított adatok elemzésére összpontosítanak.
Azonosítsa az alsóbb rétegbeli fogyasztókat, és biztosítsa a hozzáférést a céljaik eléréséhez szükséges minimális engedélyeknek megfelelően. Annak érdekében, hogy a felhasználók igazodjanak a célélményükhöz, az alsóbb rétegbeli felhasználók minden típusa hozzáférést kaphat egyetlen Fabric-adatelemhez. A felhasználói persona tábla néhány gyakori használati esetet mutat be a központhoz és a küllőhöz, valamint a kapcsolódó hálóelemeket.
| User | Hálóelemek |
|---|---|
| Adattudósok | Apache Spark-jegyzetfüzetek vagy lakehouse |
| Üzleti elemzők | SQL-végpont |
| Jelentéskészítők | Szemantikai modellek |
| Jelentésfelhasználók | Power BI-jelentések |
Munkaterületi szerepkörök
A munkaterületi szerepkör-hozzárendelések ugyanazokat az irányelveket követik a küllős és az adathálós architektúrák esetében is. A feladatokkal kapcsolatos feladatok táblázata ismerteti, hogy mely munkaterületi szerepkört rendelje hozzá a felhasználókhoz a munkaterületen végrehajtott funkciók alapján.
| Feladat-felelősségek | Munkaterületi szerepkör |
|---|---|
| A munkaterület tulajdonjoga és a szerepkör-hozzárendelések kezelése | Rendszergazda |
| Szerepkör-hozzárendelések kezelése nem rendszergazdai felhasználók számára | Tag |
| Hálóelemek létrehozása és adatok írása | Közreműködő |
| Táblák és nézetek létrehozása az SQL-lel | Megtekintő + SQL-engedélyek |
Adattudósok
Az adattudósnak hozzá kell férnie egy tóházban lévő adatokhoz az Apache Sparkon keresztüli felhasználáshoz. Az adatháló, a központ és a küllő esetében a Spark-felhasználók egy külön munkaterületről származó adatokat használnak fel, mint amelyikben az adatok találhatók. Ez lehetővé teszi az adatelemzők számára, hogy anélkül hozzanak létre modelleket és kísérleteket, hogy zsúfoltságokat adnak az adatokat tároló munkaterülethez. Az adattudósok más nem Spark-szolgáltatásokat is használhatnak, amelyek közvetlenül csatlakoznak a OneLake-adatelérési utakhoz, például az Azure Databrickshez vagy a Dremio-hoz.
Az adatelemzők hozzáférésének kiépítéséhez használja a megosztás gombot a lakehouse megosztásához. Válassza az Összes Apache Spark beolvasása párbeszédpanelt a párbeszédpanelen. A OneLake-adathozzáférési szerepkörrel rendelkező lakehouse-k esetében adja meg ugyanazokat a felhasználókat úgy, hogy hozzáadja őket egy OneLake-adathozzáférési szerepkörhöz. A OneLake adathozzáférési szerepkörök használata részletesebb hozzáférést biztosít az adatokhoz. Az adatmérnökök ezután parancsikonokat hozhatnak létre egy tóházban lévő táblák vagy mappák kiválasztásához.
Adatmérnökök
Az adatmérnököknek hozzáférésre van szükségük a lakehouse-beli adatokhoz az alsóbb rétegbeli adattermékek létrehozásához. Az adatmérnököknek hozzá kell férni az adatokhoz a OneLake-ben, hogy folyamatokat vagy jegyzetfüzeteket lehessen létrehozni az adatok olvasásához. Egy valódi küllős modellben az adatmérnöki szerepkör csak a központi központ csapatának rétegeiben létezik. Az adathálók esetében azonban az adatmérnökök az adattermékeket tartományok között kombinálva új adatkészleteket hozhatnak létre.
A Megosztás gombbal megoszthatja a lakehouse-t az adatmérnökökkel. Jelölje be az Összes Apache Spark beolvasása jelölőnégyzetet a párbeszédpanelen. A OneLake-adathozzáférési szerepkörrel rendelkező lakehouse-k esetében adja meg ugyanazokat a felhasználókat úgy, hogy hozzáadja őket egy OneLake-adathozzáférési szerepkörhöz. A OneLake adathozzáférési szerepkörök használata részletesebb hozzáférést biztosít az adatokhoz. Az adatmérnökök ezután parancsikonokat hozhatnak létre egy tóházban lévő táblák vagy mappák kiválasztásához.
Üzleti elemzők
Az üzleti elemzők (néha adatelemzők hívása) az SQL-en keresztül kérdezik le az adatokat az üzleti kérdések megválaszolásához.
A megosztás gombbal megoszthatja a lakehouse-t az üzleti elemzőkkel. Jelölje be az Összes SQL-végpont adatainak olvasása jelölőnégyzetet a párbeszédpanelen. Ez a beállítás hozzáférést biztosít az üzleti elemzőknek az SQL-végponton lévő adatokhoz, de nem látják a mögöttes OneLake-fájlokat.
Az adatokhoz való hozzáférés tovább korlátozható ezen felhasználók számára, ha közvetlenül az SQL-ben definiálja a sor- vagy oszlopszintű biztonságot.
Jelentéskészítők
A jelentéskészítők Power BI-jelentéseket készítenek más felhasználók számára.
A megosztás gombbal megoszthatja a lakehouse-t a jelentéskészítőkkel. A párbeszédpanelen jelölje be a jelentéskészítést az alapértelmezett szemantikai modellmezőben . Ez az engedély lehetővé teszi, hogy a jelentéskészítők a lakehouse-hoz társított szemantikai modellel készítsenek jelentéseket. Ezek a felhasználók nem férhetnek hozzá az adatokhoz a OneLake-ben, és nem férhetnek hozzá teljes hozzáféréssel az SQL-végponthoz.
Jelentésfelhasználók
A jelentésfelhasználók azok az üzleti vezetők vagy igazgatók, amelyek egy Power BI-jelentésben lévő adatokat tekintenek meg a döntéshozatalhoz.
A megosztás gomb használatával megoszthatja a jelentést a felhasználókkal. Ne jelölje be egyik jelölőnégyzetet sem, hogy hozzáférést biztosítson a jelentés olvasásához, de ne láthassa a mögöttes adatokat. Annak érdekében, hogy a felhasználók ne férhessenek hozzá az SQL-végponthoz és a táblák megtekintéséhez, győződjön meg arról, hogy nincs meghatározva olyan SQL-engedély, amely hozzáférést biztosítana ezekhez a felhasználókhoz.
Az adatokat egy alkalmazással is megoszthatja a jelentés felhasználóival. Az alkalmazások lehetővé teszik, hogy a felhasználók az alapul szolgáló munkaterülethez való hozzáférés nélkül férhessenek hozzá egy előre definiált jelentéshez vagy jelentéskészlethez. Vegye figyelembe, hogy a közvetlen tó módban lévő jelentések esetében a felhasználóknak meg kell osztaniuk velük a mögöttes lakehouse-t az adatok megtekintéséhez.
Kapcsolódó tartalom
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: