Mulai mengamankan data di OneLake

  • Artikel

Sebagai data lake tunggal untuk seluruh organisasi Anda, sangat penting untuk menerapkan model keamanan yang dapat diskalakan dan kuat di OneLake untuk menjaga data sensitif tetap terkompartmentalisasi. Microsoft OneLake dan Microsoft Fabric menyediakan beberapa kemampuan di luar kotak untuk menjaga akses data tetap dibatasi hanya untuk pengguna yang membutuhkannya. Artikel ini melihat cara terbaik untuk mengamankan data estate Anda dengan kemampuan saat ini di OneLake.

Penting

Microsoft Fabric sedang dalam pratinjau.

Struktur OneLake

OneLake adalah data lake hierarkis, mirip dengan ADLS gen 2 atau sistem file Windows. Struktur ini memungkinkan keamanan diatur pada tingkat yang berbeda dalam hierarki untuk mengatur akses. OneLake menawarkan lebih banyak fitur dan kontrol pada tingkat tertentu dalam hierarki folder. Tingkat-tingkat ini adalah:

Ruang kerja: lingkungan kolaboratif yang digunakan untuk membuat dan mengelola item.

Item: sekumpulan kemampuan yang dibundel bersama-sama menjadi satu komponen. Item data adalah subjenis item yang memungkinkan data disimpan di dalamnya menggunakan OneLake. Item selalu hidup dalam ruang kerja dan ruang kerja selalu hidup langsung di bawah namespace OneLake. Struktur ini dapat divisualisasikan sebagai berikut:

Diagram memperlihatkan sifat hierarkis OneLake sebagai struktur folder. OneLake/Workspace/Item sebagai contoh.

Izin ruang kerja

Dalam rilis pratinjau publik Microsoft Fabric, izin hanya dapat dikonfigurasi di tingkat ruang kerja.

Untuk memberikan akses pengguna ke item, pengguna memerlukan izin dari salah satu peran ruang kerja Fabric.. Minimal, pengguna memerlukan akses Baca pada item untuk melihat dan menyambungkan ke item tersebut, yang disediakan oleh peran Penampil. Pengguna dalam peran Penampil juga dapat menyambungkan dan membaca data menggunakan titik akhir SQL untuk item Gudang dan Lakehouse atau membaca data melalui himpunan data Power BI.

Akses langsung ke OneLake atau untuk menulis data disediakan melalui peran lain. Admin, anggota, dan kontributor semuanya menyediakan akses untuk membaca data langsung di OneLake melalui Spark atau API, dan menulis data ke sumber tersebut. Item Gudang bersifat baca-saja melalui antarmuka lake, sehingga bahkan Admin tidak dapat menulis data ke Gudang melalui API, tetapi mereka dapat menulis data melalui SQL.

Izin komputasi

Selain izin ruang kerja, akses data dapat diberikan melalui mesin komputasi SQL di Microsoft Fabric. Akses yang diberikan melalui SQL hanya berlaku untuk pengguna yang mengakses data melalui SQL, tetapi keamanan ini dapat digunakan untuk memberikan akses yang lebih selektif ke pengguna tertentu. Dalam statusnya saat ini, SQL mendukung pembatasan akses ke tabel dan skema tertentu dengan keamanan tingkat baris yang direncanakan dalam rilis mendatang.

Dalam contoh di bawah ini, pengguna dibagikan Lakehouse tetapi hanya dengan akses Penampil. Mereka kemudian diberikan SELECT melalui titik akhir SQL. Ketika pengguna tersebut mencoba menulis data melalui API OneLake, akses ditolak karena mereka tidak memiliki izin yang memadai, tetapi bacaan yang dibuat melalui pernyataan SQL SELECT akan berhasil.

Diagram memperlihatkan pengguna mengakses data melalui SQL tetapi mendapatkan akses yang ditolak saat mengkueri OneLake secara langsung.

Mengamankan OneLake

Sekarang setelah kami memahami izin yang tersedia di Microsoft Fabric, mari kita lihat contoh cara terbaik menyusun data di OneLake. Untuk memulai, kami membangun arsitektur medali standar. Dalam pendekatan ini, kami biasanya ingin memiliki sekumpulan pengguna terbatas yang memiliki akses ke lapisan Perunggu dan Perak, dengan akses yang lebih luas ke lapisan Gold. Salah satu cara untuk menyusunnya adalah sebagai berikut:

Diagram memperlihatkan lapisan perunggu dan perak sebagai masing-masing satu ruang kerja. Lapisan emas dipecah menjadi beberapa ruang kerja yang berbeda untuk setiap domain data.

Orang-orang yang bertanggung jawab untuk mengelola Perunggu dan Perak dapat ditambahkan ke peran Anggota atau Kontributor sehingga mereka dapat memperbarui dan mengelola semua data di lingkungan tersebut. Karena pengguna tersebut memerlukan akses tulis, ini adalah satu-satunya metode untuk mencapai hal ini. Pengguna yang memerlukan akses ke item data tertentu dalam lapisan Perunggu dan Perak dapat diberikan peran Penampil dan mengakses data melalui titik akhir SQL.

Untuk lapisan Gold, akses dapat dibagi di sejumlah ruang kerja yang lebih kecil. Setiap ruang kerja dapat dilingkup ke domain bisnis atau sekumpulan pengguna yang perlu mengakses data tersebut. Dalam setiap ruang kerja, pengguna akhir dapat diberi peran Penampil. Teknisi data yang membangun dan mengelola lapisan Emas dapat menggunakan peran Kontributor atau Anggota yang memberi mereka akses Tulis. Jika lingkungan tertentu membutuhkan kontrol akses yang lebih ketat, Gudang atau Lakehouse tertentu dapat menentukan keamanan tingkat objek melalui titik akhir SQL mereka. Ini hanya memungkinkan beberapa tabel dibagikan dengan pengguna sementara yang lain disembunyikan.

Contoh di atas hanya salah satu dari banyak cara agar data dapat disusun di OneLake, namun memberikan rekomendasi tentang cara memanfaatkan kemampuan Microsoft Fabric untuk mengamankan data. Di bagian berikutnya kita akan melihat beberapa panduan umum untuk menerapkan keamanan.

Panduan Umum

Aturan umum berikut dapat digunakan untuk memandu penataan data di OneLake agar tetap aman.

Akses tulis: Pengguna yang memerlukan akses tulis harus menjadi bagian dari peran ruang kerja yang memberikan akses tulis. Ini berlaku untuk semua item data, sehingga ruang kerja cakupan untuk satu tim teknisi data.

Akses lake: Untuk memberi pengguna akses baca langsung ke data di OneLake, mereka harus menjadi bagian dari peran ruang kerja Admin, Anggota, atau Kontributor.

Akses data umum: Setiap pengguna dengan izin Penampil dapat mengakses data melalui titik akhir SQL untuk gudang, lakehouse, dan himpunan data.

Keamanan tingkat objek: Untuk melindungi data sensitif, beri pengguna akses ke titik akhir Warehouse atau Lakehouse SQL melalui peran Penampil dan gunakan pernyataan SQL DENY untuk membatasi akses ke tabel tertentu.

Langkah berikutnya