Mengamankan Data dengan Fabric, Mesin Komputasi, dan OneLake
Fabric menawarkan model keamanan multi-lapisan untuk mengelola akses data. Keamanan dapat diatur untuk seluruh ruang kerja, untuk item individual, atau melalui izin terperinci di setiap mesin Fabric. OneLake memiliki pertimbangan keamanan sendiri yang diuraikan dalam dokumen ini.
Peran akses data OneLake (Pratinjau)
Peran akses data OneLake (Pratinjau) memungkinkan pengguna untuk membuat peran kustom dalam lakehouse dan memberikan izin baca hanya ke folder yang ditentukan saat mengakses OneLake. Untuk setiap peran OneLake, pengguna dapat menetapkan pengguna, grup keamanan, atau memberikan penugasan otomatis berdasarkan peran ruang kerja.
Pelajari selengkapnya tentang Model Kontrol Akses Data OneLake dan Mulai menggunakan Akses Data .
Keamanan pintasan
Pintasan di Microsoft Fabric memungkinkan manajemen data yang disederhanakan. Keamanan OneLake Folder berlaku untuk pintasan OneLake berdasarkan peran yang ditentukan di lakehouse tempat data disimpan.
Untuk informasi selengkapnya tentang pertimbangan keamanan pintasan, lihat Model kontrol akses OneLake. Informasi lebih lanjut tentang pintasan dapat ditemukan di sini..
Autentikasi
OneLake menggunakan ID Microsoft Entra untuk autentikasi; Anda dapat menggunakannya untuk memberikan izin kepada identitas pengguna dan perwakilan layanan. OneLake secara otomatis mengekstrak identitas pengguna dari alat, yang menggunakan autentikasi Microsoft Entra dan memetakannya ke izin yang Anda tetapkan di portal Fabric.
Catatan
Untuk menggunakan perwakilan layanan dalam penyewa Fabric, administrator penyewa harus mengaktifkan Nama Perwakilan Layanan (SPN) untuk seluruh penyewa atau grup keamanan tertentu. Pelajari selengkapnya tentang mengaktifkan Perwakilan Layanan di Pengaturan Pengembang Portal Admin Penyewa
Data tidak aktif
Data yang disimpan di OneLake dienkripsi saat tidak aktif secara default menggunakan kunci yang dikelola Microsoft. Kunci yang dikelola Microsoft diputar dengan tepat. Data di OneLake dienkripsi dan didekripsi secara transparan dan sesuai dengan FIPS 140-2.
Enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan saat ini tidak didukung. Anda dapat mengirimkan permintaan untuk fitur ini di Microsoft Fabric Ideas.
Data saat transit
Data saat transit di internet publik antara layanan Microsoft selalu dienkripsi dengan setidaknya TLS 1.2. Fabric bernegosiasi ke TLS 1.3 jika memungkinkan. Lalu lintas antara layanan Microsoft selalu dirutekan melalui jaringan global Microsoft.
Komunikasi OneLake masuk juga memberlakukan TLS 1.2 dan bernegosiasi ke TLS 1.3, jika memungkinkan. Komunikasi Outbound Fabric ke infrastruktur milik pelanggan lebih memilih protokol yang aman tetapi mungkin kembali ke protokol lama yang tidak aman (termasuk TLS 1.0) ketika protokol yang lebih baru tidak didukung.
Private Link
Fabric saat ini tidak mendukung akses tautan privat ke data OneLake melalui produk non-Fabric dan Apache Spark.
Mengizinkan aplikasi yang berjalan di luar Fabric untuk mengakses data melalui OneLake
OneLake memungkinkan Anda membatasi akses ke data dari aplikasi yang berjalan di luar lingkungan Fabric. Admin dapat menemukan pengaturan di bagian OneLake di Portal Admin Penyewa. Saat Anda mengaktifkan sakelar ini, pengguna dapat mengakses data melalui semua sumber. Saat Anda mematikan tombol, pengguna tidak dapat mengakses data melalui aplikasi yang berjalan di luar lingkungan Fabric. Misalnya, pengguna dapat mengakses data melalui aplikasi menggunakan API Azure Data Lake Storage (ADLS) atau penjelajah file OneLake.