Gambaran umum keamanan OneLake
OneLake adalah data lake hierarkis, seperti Azure Data Lake Storage (ADLS) Gen2 atau sistem file Windows. Struktur ini memungkinkan Anda mengatur keamanan pada tingkat yang berbeda dalam hierarki untuk mengatur akses. Beberapa tingkat dalam hierarki diberikan perlakuan khusus karena berkorelasi dengan konsep Fabric.
Ruang kerja: lingkungan kolaboratif untuk membuat dan mengelola item.
Item: sekumpulan kemampuan dibundel bersama-sama ke dalam satu komponen. Item data adalah subjenis item yang memungkinkan data disimpan di dalamnya menggunakan OneLake.
Folder: folder dalam item yang digunakan untuk menyimpan dan mengelola data.
Item selalu berada dalam ruang kerja dan ruang kerja selalu hidup langsung di bawah namespace OneLake. Anda dapat memvisualisasikan struktur ini sebagai berikut:
Izin ruang kerja
Izin ruang kerja memungkinkan untuk menentukan akses ke semua item dalam ruang kerja tersebut. Ada 4 peran ruang kerja yang berbeda, yang masing-masing memberikan berbagai jenis akses.
| Peran | Dapatkah menambahkan admin? | Dapatkah menambahkan anggota? | Dapatkah menulis data dan membuat item? | Dapatkah membaca data? |
|---|---|---|---|---|
| Admin | Ya | Ya | Ya | Ya |
| Anggota | Tidak | Ya | Ya | Ya |
| Kontributor | Tidak | No | Ya | Ya |
| Penampil | Tidak | No | No | Ya |
Catatan
Anda dapat melihat item Gudang dengan peran baca-tulis, tetapi Anda hanya dapat menulis ke gudang menggunakan kueri SQL.
Anda dapat menyederhanakan manajemen peran ruang kerja Fabric dengan menetapkannya ke grup keamanan. Metode ini memungkinkan Anda mengontrol akses dengan menambahkan atau menghapus anggota dari grup keamanan.
Izin item
Dengan fitur berbagi, Anda dapat memberi pengguna akses langsung ke item. Pengguna hanya dapat melihat item tersebut di ruang kerja dan bukan anggota peran ruang kerja apa pun. Izin item memberikan akses untuk menyambungkan ke item tersebut dan item mana yang dapat diakses pengguna.
| Izin | Lihat metadata item? | Lihat data di SQL? | Lihat data di OneLake? |
|---|---|---|---|
| Read | Ya | No | Tidak |
| ReadData | Tidak | Ya | Tidak |
| ReadAll | Tidak | Tidak | Ya* |
*Tidak berlaku untuk item dengan peran akses data OneLake (pratinjau) diaktifkan. Jika pratinjau diaktifkan, ReadAll hanya akan memberikan akses jika peran DefaultReader sedang digunakan. Jika peran tersebut diedit atau dihapus, akses akan diberikan berdasarkan peran akses data apa yang menjadi bagian pengguna.
Cara lain untuk mengonfigurasi izin adalah melalui halaman Kelola izin item. Dengan menggunakan halaman ini, Anda dapat menambahkan atau menghapus izin item individual untuk pengguna atau grup. Izin pasti yang tersedia ditentukan oleh jenis item.
Izin komputasi
Akses data juga dapat diberikan melalui mesin komputasi SQL di Microsoft Fabric. Akses yang diberikan melalui SQL hanya berlaku untuk pengguna yang mengakses data melalui SQL, tetapi Anda dapat menggunakan keamanan ini untuk memberikan akses yang lebih selektif ke pengguna tertentu. Dalam statusnya saat ini, SQL mendukung pembatasan akses ke tabel dan skema tertentu, serta keamanan tingkat baris dan kolom.
Pengguna yang mengakses data melalui SQL mungkin melihat hasil yang berbeda dari mengakses data langsung di OneLake tergantung pada izin komputasi yang diterapkan. Untuk mencegah hal ini, pastikan bahwa izin item pengguna dikonfigurasi untuk hanya memberi mereka akses ke Titik Akhir SQL (menggunakan ReadData) atau OneLake (menggunakan ReadAll atau pratinjau peran akses data).
Dalam contoh berikut, pengguna diberi akses baca-saja ke lakehouse melalui berbagi item. Pengguna diberikan izin SELECT pada tabel melalui titik akhir analitik SQL. Ketika pengguna tersebut mencoba membaca data melalui API OneLake, mereka ditolak aksesnya karena tidak memiliki izin yang memadai. Pengguna dapat berhasil membaca pernyataan SQL SELECT.
Peran akses Data OneLake (pratinjau)
Peran akses data OneLake adalah fitur baru yang memungkinkan Anda menerapkan kontrol akses berbasis peran (RBAC) ke data Anda yang disimpan di OneLake. Anda dapat menentukan peran keamanan yang memberikan akses baca ke folder tertentu dalam item Fabric, dan menetapkannya kepada pengguna atau grup. Izin akses menentukan folder apa yang dilihat pengguna saat mengakses tampilan lake data melalui UX lakehouse, notebook, atau ONELake API.
Pengguna Fabric dalam peran Admin, Anggota, atau Kontributor dapat memulai dengan membuat peran akses data OneLake untuk memberikan akses hanya ke folder tertentu di lakehouse. Untuk memberikan akses ke data di lakehouse, tambahkan pengguna ke peran akses data. Pengguna yang bukan bagian dari peran akses data tidak akan melihat data di lakehouse tersebut.
Pelajari selengkapnya tentang membuat peran akses data di Mulai menggunakan Peran Akses Data.
Pelajari selengkapnya tentang model keamanan untuk peran akses Model Kontrol Akses Data.
Keamanan pintasan
Pintasan di Microsoft Fabric memungkinkan manajemen data yang disederhanakan, tetapi memiliki beberapa pertimbangan keamanan yang perlu diperhatikan. Untuk informasi tentang mengelola keamanan pintasan, lihat dokumen ini.
Untuk peran akses data OneLake (pratinjau), pintasan menerima perlakuan khusus tergantung pada jenis pintasan. Akses ke pintasan OneLake selalu dikontrol oleh peran akses pada target pintasan. Ini berarti bahwa untuk pintasan dari LakehouseA ke LakehouseB, keamanan LakehouseB berlaku. Peran akses data di LakehouseA tidak dapat memberikan atau mengedit keamanan pintasan ke LakehouseB.
Untuk pintasan eksternal ke Amazon S3 atau ADLS Gen2, keamanan dikonfigurasi melalui peran akses data di lakehouse itu sendiri. Pintasan dari LakehouseA ke wadah S3 dapat memiliki peran akses data yang dikonfigurasi di LakehouseA. Penting untuk dicatat bahwa hanya tingkat akar pintasan yang dapat menerapkan keamanan. Menetapkan akses ke sub-folder pintasan akan mengakibatkan kesalahan pembuatan peran.
Pelajari selengkapnya tentang model keamanan untuk pintasan dalam Model Kontrol Akses Data
Konten terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk