Keamanan OneLake
OneLake menggunakan model keamanan berlapis yang dibangun di sekitar struktur organisasi komponen dalam Microsoft Fabric. Keamanan berasal dari autentikasi Azure Active Directory (Azure AD) dan kompatibel dengan identitas pengguna, perwakilan layanan, dan identitas terkelola. Dengan menggunakan komponen Azure AD dan Fabric, Anda dapat membangun mekanisme keamanan yang kuat di seluruh OneLake, memastikan bahwa Anda menjaga keamanan data sambil juga mengurangi salinan dan meminimalkan kompleksitas.
Penting
Microsoft Fabric saat ini dalam PRATINJAU. Informasi ini berkaitan dengan produk prarilis yang mungkin dimodifikasi secara substansial sebelum dirilis. Microsoft tidak memberikan jaminan, tersurat maupun tersirat, sehubungan dengan informasi yang diberikan di sini.
Keamanan ruang kerja
Ruang kerja adalah batas keamanan utama untuk data dalam OneLake. Setiap ruang kerja mewakili satu domain atau area proyek tempat tim dapat berkolaborasi pada data. Keamanan di ruang kerja dikelola melalui peran ruang kerja Fabric. Pelajari selengkapnya tentang kontrol akses berbasis peran Fabric (RBAC): Peran ruang kerja
Peran ruang kerja dalam Fabric memberikan izin berikut di OneLake.
| Kemampuan | Admin | Anggota | Kontributor | Penampil |
|---|---|---|---|---|
| Menampilkan file di OneLake | Ya | Ya | Ya | Tidak |
| Menulis file di OneLake | Ya | Ya | Ya | Tidak |
Keamanan khusus komputasi
Beberapa mesin komputasi di Fabric memiliki model keamanannya sendiri. Misalnya, Fabric Warehouse memungkinkan pengguna menentukan akses menggunakan pernyataan T-SQL. Keamanan khusus komputasi selalu diberlakukan saat Anda mengakses data menggunakan mesin tersebut, tetapi kondisi tersebut mungkin tidak berlaku untuk pengguna dalam peran Fabric tertentu ketika mereka mengakses OneLake secara langsung. Lihat dokumentasi untuk himpunan data Gudang, Analitik real-time, dan Power BI untuk detail selengkapnya tentang jenis keamanan komputasi apa yang dapat ditentukan.
Sebagai aturan, pengguna dalam peran Penampil hanya dapat mengakses data melalui mesin komputasi tertentu dan aturan keamanan apa pun yang ditentukan dalam mesin tersebut berlaku. Semua peran lain memiliki akses OneLake langsung, memungkinkan mereka untuk mengkueri data melalui Spark, API, atau File Explorer OneLake. Namun, keamanan khusus komputasi masih berlaku untuk pengguna tersebut saat mengakses data melalui mesin komputasi tersebut.
Contoh: Martha adalah administrator untuk ruang kerja Fabric dan Pradeep adalah Viewer. Martha ingin membatasi akses ke tabel tertentu di LakehouseA. Dia terhubung ke SQL dan mendefinisikan keamanan tingkat objek menggunakan pernyataan GRANT dan DENY. Ketika Pradeep mengakses data melalui SQL, ia hanya dapat melihat tabel dari LakehouseA yang aksesnya diberikan.
Keamanan pintasan
Pintasan di Microsoft Fabric memungkinkan manajemen data yang sangat disederhanakan, tetapi memiliki beberapa pertimbangan keamanan yang perlu diperhatikan. Untuk informasi tentang mengelola keamanan pintasan, lihat dokumen ini.
Autentikasi
OneLake menggunakan Azure Active Directory (Azure AD) untuk autentikasi; Anda dapat menggunakannya untuk memberikan izin kepada identitas pengguna dan perwakilan layanan. OneLake secara otomatis mengekstrak identitas pengguna dari alat, yang menggunakan autentikasi Azure AD dan memetakannya ke izin yang Anda tetapkan di portal Fabric.
Catatan
Untuk menggunakan perwakilan layanan dalam penyewa Fabric, administrator penyewa harus mengaktifkan Nama Prinsipal Layanan (SPN) untuk seluruh penyewa atau grup keamanan tertentu.
Private Link
Fabric saat ini tidak mendukung akses tautan privat ke data OneLake melalui produk non-Fabric dan Spark.
Mengizinkan aplikasi yang berjalan di luar Fabric untuk mengakses data melalui OneLake
OneLake menyediakan kemampuan untuk membatasi akses ke data dari aplikasi yang berjalan di luar lingkungan Fabric. Admin dapat menemukan pengaturan di portal admin penyewa. Ketika sakelar ini diaktifkan, data dapat diakses melalui semua sumber. Ketika dinonaktifkan, data tidak dapat diakses melalui aplikasi yang berjalan di luar lingkungan Fabric. Misalnya, data dapat diakses melalui aplikasi seperti Azure Databricks, aplikasi kustom menggunakan API ADLS, atau penjelajah file OneLake.