Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
OneLake adalah data lake hierarkis, seperti Azure Data Lake Storage (ADLS) Gen2 atau sistem file Windows. Keamanan di OneLake diberlakukan pada sarana kontrol dan sarana data:
- Izin sarana kontrol: Mengatur tindakan apa yang dapat dilakukan pengguna dalam lingkungan, seperti membuat, mengelola, atau berbagi item. Izin sarana kontrol sering memberikan izin sarana data secara default.
- Izin lapisan data: Mengatur data apa yang dapat diakses atau dilihat pengguna, terlepas dari kemampuan mereka untuk mengelola sumber daya. Untuk OneLake, ini mengacu pada keamanan OneLake.
Anda dapat mengatur keamanan di setiap tingkat dalam data lake. Namun, beberapa tingkat dalam hierarki menerima perlakuan khusus karena berkorelasi dengan konsep Fabric. Keamanan OneLake mengontrol semua akses ke data OneLake dengan izin yang diwariskan dari item induk atau ruang kerja. Anda dapat mengatur izin pada tingkat berikut:
Ruang kerja: Lingkungan kolaboratif untuk membuat dan mengelola item. Anda mengelola keamanan melalui peran ruang kerja di tingkat ini.
Item: Sekumpulan kemampuan dibundel bersama-sama ke dalam satu komponen. Item data adalah subjenis item yang memungkinkan data disimpan di dalamnya melalui OneLake, seperti lakehouse, data warehouse, atau database SQL. Item mewarisi izin dari peran ruang kerja tetapi juga dapat memiliki izin tambahan.
Folder: Anda menggunakan folder dalam item untuk menyimpan dan mengelola data, seperti Tabel/atau File/.
Item-item selalu berada di dalam ruang kerja, dan ruang kerja selalu berada langsung di bawah namespace OneLake. Anda dapat memvisualisasikan struktur ini sebagai berikut:
Persetujuan pada OneLake
Bagian ini menjelaskan bagaimana izin di OneLake mengelola akses di tingkat ruang kerja dan item.
Izin ruang kerja
Izin ruang kerja menentukan tindakan apa yang dapat dilakukan pengguna dalam ruang kerja dan itemnya. Kelola izin ini di tingkat ruang kerja. Izin ini terutama merupakan izin sarana kontrol. Mereka menentukan kemampuan manajemen administratif dan item, bukan akses data langsung. Namun, item dan folder umumnya mewarisi izin ruang kerja untuk memberikan akses data secara default. Izin ruang kerja menentukan akses ke semua item dalam ruang kerja tersebut.
Empat peran ruang kerja yang berbeda memberikan berbagai jenis akses. Tabel berikut ini mencantumkan perilaku default dari setiap peran ruang kerja:
| Peranan | Dapatkah menambahkan admin? | Dapatkah menambahkan anggota? | Dapatkah mengedit keamanan OneLake? | Dapatkah menulis data dan membuat item? | Dapatkah membaca data di OneLake? | Apakah dapat memperbarui dan menghapus ruang kerja? |
|---|---|---|---|---|---|---|
| Pengelola | Ya | Ya | Ya | Ya | Ya | Ya |
| Anggota | Tidak | Ya | Ya | Ya | Ya | Tidak |
| Kontributor | Tidak | Tidak | Tidak | Ya | Ya | Tidak |
| Penampil | Tidak | Tidak | Tidak | Tidak | Tidak* | Tidak |
* Anda dapat memberi Penonton akses ke data dengan menggunakan peran keamanan OneLake.
Pelajari selengkapnya tentang Peran di ruang kerja di Microsoft Fabric.
Sederhanakan manajemen peran ruang kerja Fabric dengan menetapkannya ke kelompok keamanan. Metode ini memungkinkan Anda mengontrol akses dengan menambahkan atau menghapus anggota dari grup keamanan.
Izin barang
Dengan menggunakan fitur berbagi , Anda dapat memberi pengguna akses langsung ke item. Pengguna hanya dapat melihat item tersebut di ruang kerja dan bukan anggota peran ruang kerja apa pun. Izin item memberikan akses untuk menyambungkan ke item tersebut dan semua titik akhirnya yang dapat diakses pengguna.
| Persetujuan | Apakah Anda melihat metadata barang? | Lihat data di SQL? | Periksa data di OneLake |
|---|---|---|---|
| Write | Ya | Ya | Ya |
| Baca | Ya | Tidak | Tidak |
| ReadData | Tidak | Hanya dalam Mode Delegasi | Tidak |
| BacaSemua | Tidak | Tidak | Hanya melalui DefaultReader |
Cara lain untuk mengonfigurasi izin adalah melalui halaman Kelola izin item. Dengan menggunakan halaman ini, Anda dapat menambahkan atau menghapus izin item individual untuk pengguna atau grup. Tipe item menentukan izin mana yang tersedia.
Keamanan OneLake
Keamanan OneLake memungkinkan Anda menentukan keamanan berbasis peran terperinci untuk data yang disimpan di OneLake dan memberlakukan keamanan tersebut secara konsisten di semua mesin komputasi di Fabric. Keamanan OneLake adalah model keamanan sarana data untuk data di OneLake.
Pengguna Fabric dalam peran ruang kerja Admin atau Anggota dapat membuat peran keamanan OneLake untuk memberi pengguna akses ke data dalam item. Setiap peran memiliki empat komponen:
- Data: Tabel atau folder yang dapat diakses pengguna.
- Izin: Izin yang dimiliki pengguna pada data.
- Anggota: Pengguna yang merupakan anggota jabatan.
- Batasan: Komponen data, jika ada, yang dikecualikan dari akses peran, seperti baris atau kolom tertentu.
Peran keamanan OneLake memberikan akses ke data untuk pengguna dalam peran ruang kerja Penampil atau dengan izin Baca pada item. Admin, Anggota, dan Kontributor Ruang Kerja tidak terpengaruh oleh peran keamanan OneLake dan dapat membaca dan menulis semua data dalam item terlepas dari keanggotaan peran mereka. Peran DefaultReader hadir di setiap lakehouse dan memberikan pengguna dengan izin ReadAll akses ke data di lakehouse. Anda dapat menghapus atau mengedit peran DefaultReader untuk menghapus akses tersebut.
Pelajari selengkapnya tentang membuat peran keamanan OneLake untuk Tabel dan folder, Kolom, dan Baris.
Pelajari selengkapnya tentang model kontrol akses untuk keamanan OneLake.
Mesin yang diotorisasi dan penegakan oleh pihak ketiga
Keamanan OneLake mendukung penegakan oleh mesin pihak ketiga yang diberi wewenang melalui model mesin yang diberi wewenang. Mesin kueri eksternal dapat mendaftar sebagai mesin yang diotorisasi, mengambil definisi kebijakan keamanan dan akses efektif yang telah dihitung sebelumnya melalui API OneLake, dan menerapkan izin tabel, RLS, dan CLS saat waktu kueri. OneLake tetap menjadi sumber kebenaran tunggal untuk kebijakan keamanan, dan kebijakan ditulis sekali dan diberlakukan secara konsisten di seluruh mesin Fabric dan mesin eksternal resmi.
Untuk informasi selengkapnya, lihat Ringkasan integrasi keamanan OneLake.
Keamanan pintasan
Pintasan di Microsoft Fabric menyederhanakan manajemen data. Keamanan folder OneLake berlaku untuk pintasan OneLake berdasarkan peran yang ditentukan di lakehouse tempat data disimpan.
Untuk informasi selengkapnya tentang pertimbangan keamanan pintasan, lihat model kontrol akses keamanan OneLake untuk Pintasan >.
Untuk informasi tentang detail akses dan autentikasi untuk pintasan tertentu, lihat jenis pintasan OneLake.
Otentikasi
OneLake menggunakan ID Microsoft Entra untuk autentikasi. Gunakan untuk memberikan izin kepada identitas pengguna dan prinsipal layanan. OneLake secara otomatis mengekstrak identitas pengguna dari alat yang menggunakan autentikasi Microsoft Entra dan memetakannya ke izin yang Anda tetapkan di portal Fabric.
Catatan
Untuk menggunakan perwakilan layanan dalam penyewa Fabric, administrator penyewa harus mengaktifkan Nama Perwakilan Layanan (SPN) untuk seluruh penyewa atau grup keamanan tertentu. Pelajari lebih lanjut tentang mengaktifkan Prinsipal Layanan di pengaturan Pengembang portal admin penyewa.
Catatan audit
Untuk melihat log audit OneLake Anda, ikuti instruksi di Melacak aktivitas pengguna di Microsoft Fabric. Nama operasi OneLake sesuai dengan API ADLS seperti CreateFile atau DeleteFile. Audit log OneLake tidak menyertakan permintaan baca atau permintaan yang diajukan ke OneLake melalui beban kerja Fabric.
Enkripsi dan jaringan
Data tidak aktif
Data yang disimpan di OneLake dienkripsi saat tidak aktif secara default dengan menggunakan kunci yang dikelola Microsoft. Kunci yang dikelola Microsoft diputar dengan tepat. OneLake mengenkripsi dan mendekripsi data secara transparan dan mematuhi FIPS 140-2.
Anda dapat menggunakan enkripsi saat tidak aktif dengan menggunakan kunci yang dikelola pelanggan untuk menambahkan lapisan perlindungan lain dengan menggunakan kunci yang Anda miliki dan kontrol. Untuk informasi selengkapnya, lihat Kunci yang dikelola pelanggan untuk ruang kerja Fabric.
Data yang sedang dalam perjalanan
Data saat transit di internet publik antara layanan Microsoft selalu dienkripsi dengan menggunakan setidaknya TLS 1.2. Fabric bernegosiasi ke TLS 1.3 jika memungkinkan. Lalu lintas antar layanan Microsoft selalu dialihkan melalui jaringan global Microsoft.
Komunikasi OneLake masuk juga memberlakukan TLS 1.2 dan bernegosiasi ke TLS 1.3 jika memungkinkan. Komunikasi Outbound Fabric ke infrastruktur milik pelanggan lebih memilih protokol yang aman tetapi mungkin kembali ke protokol lama yang tidak aman (termasuk TLS 1.0) ketika protokol yang lebih baru tidak didukung.
Tautan Pribadi
Untuk mengonfigurasi tautan privat di Fabric, lihat Menyiapkan dan menggunakan tautan privat.
Mengizinkan aplikasi yang berjalan di luar Fabric untuk mengakses data melalui OneLake
Anda dapat mengizinkan atau membatasi akses ke data OneLake dari aplikasi yang berada di luar lingkungan Fabric. Admin dapat menemukan pengaturan ini di bagian OneLake dari pengaturan penyewa di portal admin.
Saat Anda mengaktifkan pengaturan ini, pengguna dapat mengakses data dari semua sumber. Misalnya, aktifkan pengaturan ini jika Anda memiliki aplikasi kustom yang menggunakan API Azure Data Lake Storage (ADLS) atau penjelajah file OneLake. Saat Anda menonaktifkan pengaturan ini, pengguna masih dapat mengakses data dari aplikasi internal seperti Spark, Rekayasa Data, dan Gudang Data, tetapi tidak dapat mengakses data dari aplikasi yang berjalan di luar lingkungan Fabric.