Cara mengamankan data untuk arsitektur data umum
Artikel ini memberikan gambaran umum tentang cara mengonfigurasi keamanan untuk data OneLake untuk arsitektur jala data dan hub dan spoke .
Fitur keamanan
Microsoft Fabric menggunakan model keamanan multi-lapisan dengan kontrol berbeda yang tersedia pada tingkat yang berbeda untuk hanya memberikan izin minimum yang diperlukan. Untuk informasi selengkapnya tentang berbagai jenis keamanan yang dibahas dalam panduan cara ini, lihat Model kontrol akses data di OneLake.
Aman untuk jala data
Jala data adalah paradigma arsitektur yang memperlakukan data sebagai produk, bukan layanan atau sumber daya. Jala data bertujuan untuk mendesentralisasi kepemilikan dan tata kelola data di berbagai domain dan tim, sambil memungkinkan interoperabilitas dan penemuan melalui platform umum. Dalam arsitektur jala data, setiap tim terdesentralisasi mengelola kepemilikan data yang merupakan bagian dari produk data mereka. Panduan keamanan yang disediakan di bagian ini difokuskan pada satu tim produk data yang mengonfigurasi akses untuk ruang kerja mereka. Langkah-langkah ini dimaksudkan untuk diulangi oleh setiap tim produk data di ruang kerja mereka sendiri, karena mereka mengaktifkan akses untuk pengguna hilir.
Untuk mulai membangun jala data, gunakan fitur domain Microsoft Fabric untuk menandai ruang kerja sesuai dengan produk dan kepemilikan data terkait.
Dalam domain, setiap tim memiliki ruang kerja atau ruang kerja mereka sendiri. Ruang kerja menyimpan data yang diperlukan untuk membangun produk data akhir untuk dikonsumsi. Berikan pengguna akses ke ruang kerja menggunakan peran ruang kerja.
Identifikasi konsumen hilir produk data Anda dan berikan akses sesuai dengan izin minimum yang diperlukan untuk mencapai tujuan mereka. Agar pengguna tetap selaras dengan pengalaman target mereka, setiap jenis pengguna hilir dapat diberikan akses ke satu item data Fabric. Tabel di bawah ini menunjukkan beberapa kasus penggunaan umum untuk konsumen jala data dan item Fabric yang relevan.
| Pengguna | Item fabric |
|---|---|
| Ilmuwan data | Buku catatan Apache Spark atau lakehouse |
| Teknisi data | Notebook Apache Spark, aliran data, atau alur |
| Analis bisnis | Titik akhir analitik SQL |
| Pembuat laporan | Model semantik |
| Melaporkan konsumen | Laporan Power BI |
Aman untuk hub dan spoke
Arsitektur hub dan spoke berbeda dari jala data dengan memiliki semua produk data bersertifikat yang dikelola di satu lokasi yang dimiliki secara terpusat. Konsumen hilir kurang berfokus pada pembangunan produk data tambahan dan sebaliknya melakukan analisis pada data yang diproduksi oleh tim pusat.
Identifikasi konsumen hilir dan berikan akses sesuai dengan izin minimum yang diperlukan untuk mencapai tujuan mereka. Agar pengguna tetap selaras dengan pengalaman target mereka, setiap jenis pengguna hilir dapat diberikan akses ke satu item data Fabric. Tabel persona pengguna menunjukkan beberapa kasus penggunaan umum untuk hub dan spoke bersama dengan item Fabric yang relevan.
| Pengguna | Item fabric |
|---|---|
| Ilmuwan data | Buku catatan Apache Spark atau lakehouse |
| Analis bisnis | Titik akhir analitik SQL |
| Pembuat laporan | Model semantik |
| Melaporkan konsumen | Laporan Power BI |
Peran ruang kerja
Penetapan peran ruang kerja mengikuti panduan yang sama untuk arsitektur hub dan spoke dan jala data. Tabel tanggung jawab pekerjaan menguraikan peran ruang kerja mana yang akan ditetapkan kepada pengguna berdasarkan fungsi yang mereka lakukan di ruang kerja.
| Tanggung jawab pekerjaan | Peran ruang kerja |
|---|---|
| Memiliki ruang kerja dan mengelola penetapan peran | Admin |
| Mengelola penetapan peran untuk pengguna non-admin | Anggota |
| Membuat item Fabric dan menulis data | Kontributor |
| Membuat tabel dan tampilan dengan SQL | Izin Penampil + SQL |
Ilmuwan data
Ilmuwan data membutuhkan akses ke data di lakehouse untuk dikonsumsi melalui Apache Spark. Untuk jala data dan hub dan spoke, pengguna Spark menggunakan data dari ruang kerja terpisah daripada yang berada di data. Ini memungkinkan ilmuwan data memiliki akses untuk membuat model dan eksperimen tanpa menambahkan kekacauan ke ruang kerja yang menyimpan data. Ilmuwan data juga dapat menggunakan layanan non-Spark lain yang terhubung langsung ke jalur data OneLake, seperti Azure Databricks atau Dremio.
Untuk menyediakan akses bagi ilmuwan data, gunakan tombol bagikan untuk berbagi lakehouse. Pilih kotak Baca semua Apache Spark dalam dialog. Untuk lakehouse dengan peran akses data OneLake diaktifkan, berikan akses kepada pengguna yang sama dengan menambahkannya ke peran akses data OneLake. Menggunakan peran akses data OneLake memberikan akses yang lebih halus ke data. Teknisi data kemudian dapat membuat pintasan untuk memilih tabel atau folder di lakehouse.
Insinyur data
Teknisi data memerlukan akses ke data di lakehouse untuk membangun produk data hilir. Teknisi data memerlukan akses ke data di OneLake sehingga alur atau buku catatan dapat dibuat untuk membaca data. Dalam model hub dan spoke yang sebenarnya, peran teknisi data hanya ada dalam lapisan tim hub pusat. Namun, untuk jala data, teknisi data menggabungkan produk data di seluruh domain untuk membangun himpunan data baru.
Gunakan tombol bagikan untuk berbagi lakehouse dengan teknisi data. Centang kotak Baca semua Apache Spark dalam dialog. Untuk lakehouse dengan peran akses data OneLake diaktifkan, berikan akses kepada pengguna yang sama dengan menambahkannya ke peran akses data OneLake. Menggunakan peran akses data OneLake memberikan akses yang lebih halus ke data. Teknisi data kemudian dapat membuat pintasan untuk memilih tabel atau folder di lakehouse.
Analis bisnis
Analis bisnis (terkadang memanggil analis data) mengkueri data melalui SQL untuk menjawab pertanyaan bisnis.
Gunakan tombol bagikan untuk berbagi lakehouse dengan analis bisnis. Centang kotak Baca semua data titik akhir SQL dalam dialog. Pengaturan ini memberi analis bisnis akses ke data di titik akhir analitik SQL dari Lakehouse, tetapi tidak melihat file OneLake yang mendasar.
Akses ke data dapat dibatasi lebih lanjut untuk pengguna ini dengan menentukan keamanan tingkat baris atau kolom langsung di SQL.
Pembuat laporan
Pembuat laporan membuat laporan Power BI untuk digunakan pengguna lain.
Gunakan tombol bagikan untuk berbagi lakehouse dengan pembuat laporan. Centang kotak Buat laporan pada model semantik default dalam dialog. Izin ini memungkinkan pembuat laporan untuk membuat laporan menggunakan model semantik yang terkait dengan lakehouse. Pengguna tersebut tidak dapat mengakses data di OneLake atau memiliki akses penuh ke titik akhir analitik SQL.
Melaporkan konsumen
Konsumen laporan adalah pemimpin bisnis atau direktur yang menampilkan data dalam laporan Power BI untuk membuat keputusan.
Bagikan laporan dengan konsumen menggunakan tombol bagikan. Jangan centang salah satu kotak untuk memberikan akses untuk membaca laporan tetapi tidak melihat data yang mendasar. Untuk mencegah pengguna mengakses titik akhir analitik SQL dan melihat tabel, pastikan bahwa tidak ada izin SQL yang ditentukan yang akan memberikan akses untuk pengguna ini.
Anda juga dapat berbagi data dengan konsumen laporan dengan menggunakan aplikasi. Aplikasi memungkinkan pengguna mengakses laporan atau serangkaian laporan yang telah ditentukan sebelumnya tanpa memerlukan akses ke ruang kerja yang mendasarinya. Perhatikan bahwa untuk laporan dalam mode lake langsung, pengguna harus memiliki lakehouse yang mendasar dibagikan dengan mereka untuk melihat data.
Konten terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk