Mengamankan Data dengan Fabric, Mesin Komputasi, dan OneLake

Fabric menawarkan model keamanan multi-lapisan yang memberikan kesederhanaan dan fleksibilitas dalam mengelola akses data. Keamanan dapat diatur untuk seluruh ruang kerja, untuk item individual, atau melalui izin terperinci di setiap mesin Fabric.

Izin mesin terperinci memungkinkan kontrol akses terperinci seperti keamanan tingkat tabel, kolom, dan baris ditentukan. Izin terperinci ini berlaku untuk kueri yang dijalankan terhadap mesin tersebut. Mesin yang berbeda mendukung berbagai jenis keamanan terperinci, memungkinkan setiap mesin disesuaikan khusus untuk pengguna targetnya.

Keamanan data fabric

Fabric mengontrol akses data menggunakan ruang kerja dan item. Di ruang kerja, data muncul dalam bentuk Item Fabric, dan pengguna tidak dapat melihat atau menggunakan data dalam Item kecuali Anda memberi mereka akses ke ruang kerja.

Izin ruang kerja memberikan akses ke semua item dalam ruang kerja. Sebaliknya, izin Fabric Item memungkinkan pemberian akses ke item tertentu, seperti lakehouse, gudang, atau laporan. Admin dapat menentukan Fabric Item mana yang dapat berinteraksi dengan pengguna. Misalnya, membatasi akses ke data melalui Titik Akhir SQL Analitik, sambil memberikan akses ke data yang sama melalui Lakehouse atau melalui ONELake API secara langsung.

Pelajari selengkapnya tentang mengontrol akses data menggunakan izin Ruang Kerja Fabric dan Item di Keamanan di Microsoft .

Keamanan data khusus mesin

Banyak mesin Fabric memungkinkan kontrol akses halus seperti keamanan tingkat tabel, kolom, dan baris didefinisikan. Beberapa mesin komputasi di Fabric memiliki model keamanannya sendiri. Misalnya, Fabric Warehouse memungkinkan pengguna menentukan akses menggunakan pernyataan T-SQL. Keamanan khusus komputasi selalu diberlakukan saat Anda mengakses data menggunakan mesin tersebut. Keamanan mesin komputasi mungkin tidak berlaku untuk pengguna dalam peran Fabric tertentu saat mereka mengakses OneLake secara langsung.

Pelajari selengkapnya tentang keamanan data terperinci khusus mesin:

• Keamanan pergudangan data
• Keamanan Power BI
• Data Factory - Menyiapkan Koneksi ion Lakehouse Anda
• Keamanan Tingkat Baris Analitik Real Time

Peran akses data OneLake (Pratinjau)

Peran akses data OneLake (Pratinjau) memungkinkan pengguna untuk membuat peran kustom dalam lakehouse dan memberikan izin baca hanya ke folder yang ditentukan saat mengakses OneLake. Untuk setiap peran OneLake, pengguna dapat menetapkan pengguna, grup keamanan, atau memberikan penugasan otomatis berdasarkan peran ruang kerja.

Pelajari selengkapnya tentang Model Kontrol Akses Data OneLake dan Mulai menggunakan Akses Data .

Keamanan pintasan

Pintasan di Microsoft Fabric memungkinkan manajemen data yang disederhanakan. Keamanan OneLake Folder berlaku untuk pintasan OneLake berdasarkan peran yang ditentukan di lakehouse tempat data disimpan.

Untuk informasi selengkapnya tentang pertimbangan keamanan pintasan, lihat Model kontrol akses OneLake. Informasi lebih lanjut tentang pintasan dapat ditemukan di sini..

Autentikasi

OneLake menggunakan ID Microsoft Entra untuk autentikasi; Anda dapat menggunakannya untuk memberikan izin kepada identitas pengguna dan perwakilan layanan. OneLake secara otomatis mengekstrak identitas pengguna dari alat, yang menggunakan autentikasi Microsoft Entra dan memetakannya ke izin yang Anda tetapkan di portal Fabric.

Catatan

Untuk menggunakan perwakilan layanan dalam penyewa Fabric, administrator penyewa harus mengaktifkan Nama Perwakilan Layanan (SPN) untuk seluruh penyewa atau grup keamanan tertentu. Pelajari selengkapnya tentang mengaktifkan Perwakilan Layanan di Pengembang Pengaturan Portal Admin Penyewa

Data tidak aktif

Data yang disimpan di OneLake dienkripsi saat tidak aktif secara default menggunakan kunci yang dikelola Microsoft. Kunci yang dikelola Microsoft diputar dengan tepat. Data di OneLake dienkripsi dan didekripsi secara transparan dan sesuai dengan FIPS 140-2.

Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan saat ini tidak didukung. Anda dapat mengirimkan permintaan untuk fitur ini di Microsoft Fabric Ideas.

Data saat transit

Data saat transit di internet publik antara layanan Microsoft selalu dienkripsi dengan setidaknya TLS 1.2. Fabric bernegosiasi ke TLS 1.3 jika memungkinkan. Lalu lintas antara layanan Microsoft selalu dirutekan melalui jaringan global Microsoft.

Komunikasi OneLake masuk juga memberlakukan TLS 1.2 dan bernegosiasi ke TLS 1.3, jika memungkinkan. Komunikasi Outbound Fabric ke infrastruktur milik pelanggan lebih memilih protokol yang aman tetapi mungkin kembali ke protokol lama yang tidak aman (termasuk TLS 1.0) ketika protokol yang lebih baru tidak didukung.

Private Link

Fabric saat ini tidak mendukung akses tautan privat ke data OneLake melalui produk non-Fabric dan Spark.

Mengizinkan aplikasi yang berjalan di luar Fabric untuk mengakses data melalui OneLake

OneLake memungkinkan Anda membatasi akses ke data dari aplikasi yang berjalan di luar lingkungan Fabric. Admin dapat menemukan pengaturan di bagian OneLake di Portal Admin Penyewa. Saat Anda mengaktifkan sakelar ini, pengguna dapat mengakses data melalui semua sumber. Saat Anda mematikan tombol, pengguna tidak dapat mengakses data melalui aplikasi yang berjalan di luar lingkungan Fabric. Misalnya, pengguna dapat mengakses data melalui aplikasi seperti Azure Databricks, aplikasi kustom menggunakan API Azure Data Lake Storage (ADLS), atau penjelajah file OneLake.

Konten terkait

• Model Kontrol Akses Data OneLake (Pratinjau)
• Mulai menggunakan OneLake Security (Pratinjau)
• Penjelajah file OneLake
• Peran ruang kerja
• Bagikan item