Tóház védelme Adattárolás csapatok számára
Bevezetés
Ebben a cikkben áttekintést nyújtunk arról, hogyan konfigurálhatja a lakehouse biztonságát a Fabricben az SQL-felhasználók számára T-SQL-lekérdezésekkel való használatra. Ezek a felhasználók lehetnek olyan üzleti elemzők, aki az SQL-en, a jelentéskészítőken vagy az új táblákat és nézeteket létrehozó adatmérnökökön keresztül használja fel az adatokat.
Biztonsági funkciók
A Microsoft Fabric többrétegű biztonsági modellt használ különböző szinteken elérhető különböző vezérlőkkel, hogy csak a minimálisan szükséges engedélyeket biztosítsa. A Fabricben elérhető különböző biztonsági funkciókról további információt a OneLake adathozzáférés-vezérlési modelljében talál.
A Synapse Data Warehouse számítási feladataiban a raktár és az SQL Analytics végpontelemei lehetővé teszik a natív SQL-biztonság meghatározását is. Az SQL Security a T-SQL biztonsági szerkezeteinek teljes kódtára segítségével teszi lehetővé az elemen belüli táblák, nézetek, sorok és oszlopok részletes hozzáférés-vezérlését. Az SQL-biztonságról további információt az SQL részletes engedélyeit ismertető cikkben talál.
A raktárban vagy az SQL Analytics-végponton konfigurált SQL-engedélyek csak a raktáron vagy az SQL Analytics-végponton végrehajtott lekérdezésekre vonatkoznak. A mögöttes adatok a OneLake-ben találhatók, de a OneLake-adatokhoz való hozzáférést a OneLake adathozzáférési szerepkörei külön szabályozzák. Annak érdekében, hogy az SQL-engedélyekkel rendelkező felhasználók ne láthassák azokat az adatokat, amelyekhez nem rendelkeznek SQL-hozzáféréssel, ne vegye fel ezeket a felhasználókat egy OneLake-adathozzáférési szerepkörbe.
Biztonságos használat esetén
A Microsoft Fabric biztonsága az adatok adott használati esetekhez való védelmére van optimalizálva. A használati eset olyan felhasználók készlete, amelyek adott motoron keresztül férhetnek hozzá az adatokhoz. SQL-forgatókönyvek esetén néhány gyakori használati eset a következő:
- SQL-írók: Azok a felhasználók, amelyeknek új táblákat kell létrehozniuk, megtekintenek vagy adatokat kell írniuk a meglévő táblákba.
- SQL-olvasók: Azok a felhasználók, akik SQL-lekérdezésekkel kell adatokat olvasniuk. Az SQL-kapcsolatot közvetlenül vagy egy másik szolgáltatáson, például a Power BI-on keresztül érhetik el.
Ezután az egyes használati eseteket a Fabricben szükséges engedélyekkel igazíthatjuk.
SQL írási hozzáférés
A felhasználók kétféleképpen kaphatnak írási hozzáférést egy raktárhoz vagy SQL Analytics-végponthoz:
- A Fabric-munkaterületi szerepkörökön keresztül három olyan munkaterületi szerepkörnek adhat tagságot, amelyek írási engedélyeket adnak. Minden szerepkör automatikusan lefordít egy megfelelő szerepkörre az SQL-ben, amely egyenértékű írási hozzáférést biztosít.
- Adjon olvasási hozzáférést az SQL-motorhoz, és adjon egyéni SQL-engedélyeket az adatok egy részének vagy mindegyikének írásához.
Ha egy felhasználónak írási hozzáférésre van szüksége egy munkaterület összes raktárához vagy SQL Analytics-végponthoz, rendelje hozzá őket egy munkaterületi szerepkörhöz. Hacsak egy felhasználónak nem kell más felhasználókat hozzárendelnie a munkaterületi szerepkörökhöz, a Közreműködő szerepkört kell használnia.
Ha egy felhasználónak csak adott raktárakba vagy SQL Analyticsbe kell írnia, adjon nekik közvetlen hozzáférést SQL-engedélyeken keresztül.
SQL olvasási hozzáférés
A felhasználók kétféleképpen kaphatnak olvasási hozzáférést egy raktárhoz vagy SQL Analytics-végponthoz:
- Olvasási hozzáférés biztosítása a Fabric-munkaterületi szerepkörök részeként megadott ReadData-engedélyen keresztül. Mind a négy munkaterületi szerepkör engedélyezi a ReadData-engedélyt.
- Adjon olvasási hozzáférést az SQL-motorhoz, és adjon egyéni SQL-engedélyeket az adatok egy részének vagy mindegyikének olvasásához.
Ha egy felhasználó tagja egy Fabric-munkaterületi szerepkörnek, akkor ReadData-engedélyt kap. A ReadData engedély leképozza a felhasználót egy SQL-szerepkörre, amely SELECT-engedélyeket ad a raktár vagy a lakehouse összes tábláján. Ez az engedély akkor hasznos, ha a felhasználónak meg kell tekintenie a tóházban vagy a raktárban lévő adatok teljes vagy nagy részét. Egy adott tóházban vagy raktárban beállított SQL DENY-engedélyek továbbra is érvényesek, és korlátozzák a táblákhoz való hozzáférést. A sor- és oszlopszintű biztonság emellett a táblákon is beállítható a hozzáférés részletes szintű korlátozásához.
Ha egy felhasználónak csak egy adott tóházhoz vagy raktárhoz kell hozzáférnie, a megosztási funkció csak a megosztott elemhez biztosít hozzáférést. A megosztás során a felhasználók dönthetnek úgy, hogy csak olvasási engedélyt vagy Read + ReadData engedélyt adnak. Az olvasási engedély megadása lehetővé teszi a felhasználó számára, hogy csatlakozzon a raktárhoz vagy az SQL Analytics-végponthoz, de táblahozzáférést nem biztosít. Ha a felhasználók számára a ReadData-engedélyeket biztosítják, teljes olvasási hozzáférést kapnak a raktár vagy az SQL Analytics-végpont összes táblája számára. Mindkét esetben konfigurálható további SQL-biztonság adott táblákhoz való hozzáférés engedélyezésére vagy megtagadására. Ez az SQL-biztonság részletes hozzáférés-vezérlést is tartalmazhat, például sor- vagy oszlopszintű biztonságot.
Használat billentyűparancsokkal
A billentyűparancsok egy OneLake-funkció, amely lehetővé teszi az adatok egy helyről való hivatkozását anélkül, hogy fizikailag másolták az adatokat. A billentyűparancsok egy hatékony eszköz, amely lehetővé teszi, hogy az egyik lakehouse-ból származó adatok egyszerűen újra felhasználhatók legyenek más helyeken anélkül, hogy duplikált adatmásolatokat készítenek.
A Hálóban lévő raktárak nem támogatják a billentyűparancsokat. A lakehouse SQL Analytics-végpontja azonban speciálisan működik együtt a billentyűparancsokkal.
A lakehouse összes parancsikonja delegált módban érhető el az SQL Analytics-végponton keresztüli lekérdezéskor. A delegált identitás az a Háló-felhasználó, aki a lakehouse tulajdonosa. Alapértelmezés szerint a tulajdonos az a felhasználó, aki létrehozta a lakehouse- és SQL Analytics-végpontot. A tulajdonos módosítható bizonyos esetekben, és az aktuális tulajdonos megjelenik a Háló Tulajdonos oszlopában, amikor megtekinti az elemet a munkaterület elemlistájában. A delegált viselkedés azt jelenti, hogy a lekérdezést végző felhasználó képes olvasni a parancsikontáblákból, ha a tulajdonos hozzáfér az alapul szolgáló adatokhoz, nem pedig a lekérdezést végrehajtó felhasználóhoz. A lekérdezést végző felhasználónak csak a parancsikontáblából való kiválasztáshoz van szüksége hozzáférésre.
Feljegyzés
A UserA például egy tóház tulajdonosa, a UserB pedig egy parancsikont tartalmazó táblán futtat lekérdezést. A UserB-nek először olvasási hozzáféréssel kell rendelkeznie a táblában, akár a ReadData-on keresztül, akár SQL-engedélyekkel. Az adatok megtekintéséhez a lekérdezés ellenőrzi, hogy a UserA hozzáfér-e a parancsikonhoz. Ha a UserA rendelkezik hozzáféréssel, a UserB látni fogja a lekérdezés eredményeit. Ha a UserA nem rendelkezik hozzáféréssel, a lekérdezés sikertelen lesz.
A OneLake adathozzáférési szerepköröket használó lakehouse-k esetében a parancsikonokhoz való hozzáférést az határozza meg, hogy az SQL Analytics-végpont tulajdonosa rendelkezik-e hozzáféréssel a céltóház megtekintéséhez, és egy OneLake-adathozzáférési szerepkörön keresztül olvassa-e el a táblát.
A OneLake adathozzáférési szerepköröket még nem használó tóházak esetében a parancsikon-hozzáférést az határozza meg, hogy az SQL Analytics-végpont tulajdonosa rendelkezik-e olvasási és ReadAll-engedéllyel a célútvonalon.