Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
OneLake è un data lake gerarchico, come Azure Data Lake Storage (ADLS) Gen2 o il file system Windows. La sicurezza in OneLake viene applicata a più livelli, ognuno dei quali corrisponde a diversi aspetti dell'accesso e del controllo. Comprendere la distinzione tra le autorizzazioni del piano di controllo e del piano dati è fondamentale per proteggere efficacemente i dati:
- Autorizzazioni del piano di controllo: consente di gestire le azioni che gli utenti possono eseguire all'interno dell'ambiente, ad esempio la creazione, la gestione o la condivisione di elementi. Le autorizzazioni del piano di controllo spesso forniscono autorizzazioni del piano dati per impostazione predefinita.
- Autorizzazioni del piano dati: determina quali dati gli utenti possono accedere o visualizzare, indipendentemente dalla loro capacità di gestire le risorse.
È possibile impostare la sicurezza a ogni livello all'interno del data lake. Tuttavia, alcuni livelli della gerarchia ricevono un trattamento speciale in quanto sono correlati ai concetti di Fabric. I controlli di sicurezza di OneLake regolano tutto l'accesso ai dati di OneLake con diverse autorizzazioni ereditate dall'elemento genitore o dalle autorizzazioni del workspace. È possibile impostare le autorizzazioni ai livelli seguenti:
Area di lavoro: ambiente collaborativo per la creazione e la gestione degli elementi. La sicurezza viene gestita tramite ruoli dell'area di lavoro a questo livello.
Elemento: un set di funzionalità raggruppate in un singolo componente. Un elemento di dati è un sottotipo di elemento che consente di archiviare i dati al suo interno usando OneLake. Gli elementi ereditano le autorizzazioni dai ruoli dell'area di lavoro, ma possono avere anche autorizzazioni aggiuntive.
Cartelle: cartelle all'interno di un elemento utilizzato per l'archiviazione e la gestione dei dati, ad esempio tabelle/ o file/.
Gli elementi si trovano sempre all'interno delle aree di lavoro e le aree di lavoro si trovano sempre direttamente sotto lo spazio dei nomi OneLake. È possibile visualizzare questa struttura nel modo seguente:
Sicurezza in OneLake
Questa sezione descrive il modello di sicurezza basato sulle funzionalità di OneLake disponibili a livello generale.
Autorizzazioni dell'area di lavoro
Le autorizzazioni dell'area di lavoro definiscono le azioni che gli utenti possono eseguire all'interno di un'area di lavoro e dei relativi elementi. Queste autorizzazioni vengono gestite a livello di area di lavoro e sono principalmente autorizzazioni del piano di controllo; determinano funzionalità amministrative e di gestione degli elementi, non l'accesso diretto ai dati. Tuttavia, in genere, le autorizzazioni dell'area di lavoro verranno trasmesse al livello di elemento e cartella per concedere l'accesso ai dati per impostazione predefinita. Le autorizzazioni dell'area di lavoro consentono di definire l'accesso a tutti gli elementi di quell'area di lavoro. Sono disponibili quattro ruoli diversi dell'area di lavoro, ognuno dei quali concede diversi tipi di accesso. Di seguito sono riportati i comportamenti predefiniti di ogni ruolo dell'area di lavoro.
| Ruolo | È possibile aggiungere amministratori? | È possibile aggiungere membri? | È possibile modificare la sicurezza di OneLake? | È possibile scrivere dati e creare elementi? | È possibile leggere i dati in OneLake? | Aggiornare ed eliminare l'area di lavoro. |
|---|---|---|---|---|---|---|
| Amministratore | Sì | Sì | Sì | Sì | Sì | Sì |
| Membro | NO | Sì | Sì | Sì | Sì | NO |
| Contributore | NO | NO | NO | Sì | Sì | NO |
| Visualizzatore | NO | NO | NO | NO | No* | NO |
Altre informazioni sui ruoli nelle aree di lavoro in Microsoft Fabric.
Nota
*Ai visualizzatori è possibile accedere ai dati tramite i ruoli di sicurezza di OneLake.
È possibile semplificare la gestione dei ruoli dell'area di lavoro di Fabric assegnandoli ai gruppi di sicurezza. Questo metodo consente di controllare l'accesso aggiungendo o rimuovendo membri dal gruppo di sicurezza.
Autorizzazioni per gli elementi
Con la funzionalità di condivisione, è possibile dare a un utente l'accesso diretto a un elemento. L'utente può visualizzare solo l'elemento nell'area di lavoro e non è membro di alcun ruolo dell'area di lavoro. Le autorizzazioni degli elementi concedono l'accesso per connettersi a tale elemento e agli endpoint a cui l'utente può accedere.
| Autorizzazione | È possibile vedere i metadati di un elemento? | È possibile vedere i dati in SQL? | È possibile vedere i dati in OneLake? |
|---|---|---|---|
| Leggi | Sì | NO | NO |
| LeggiDati | NO | Sì | NO |
| LeggiTutto | NO | NO | Sì* |
*Non applicabile agli elementi con i ruoli di accesso ai dati o alla sicurezza di OneLake abilitati. Se l'anteprima è abilitata, ReadAll concede l'accesso solo se è in uso il ruolo DefaultReader. Se il ruolo DefaultReader viene modificato o eliminato, l'accesso viene invece concesso in base ai ruoli di accesso ai dati di cui fa parte l'utente.
Un altro modo per configurare le autorizzazioni è tramite la pagina Gestisci autorizzazioni di un elemento. Usando questa pagina, è possibile aggiungere o rimuovere l'autorizzazione per singoli elementi per utenti o gruppi. Il tipo di elemento determina le autorizzazioni disponibili.
Sicurezza di OneLake (anteprima)
La sicurezza di OneLake consente agli utenti di definire una sicurezza granulare basata sui ruoli per i dati archiviati in OneLake e di applicare tale sicurezza in modo coerente in tutti i motori di calcolo in Fabric. La sicurezza di OneLake è il modello di sicurezza del piano dati per i dati in OneLake.
Gli utenti dell'infrastruttura nei ruoli amministratore o membro possono creare ruoli di sicurezza di OneLake per concedere agli utenti l'accesso ai dati all'interno di un elemento. Ogni ruolo è costituito da quattro componenti:
- Dati: tabelle o cartelle a cui gli utenti possono accedere.
- Autorizzazione: autorizzazioni per i dati degli utenti.
- Membri: utenti che sono membri del ruolo.
- Vincoli: componenti dei dati, se presenti, esclusi dall'accesso ai ruoli, ad esempio righe o colonne specifiche.
I ruoli di sicurezza di OneLake concedono l'accesso ai dati per gli utenti nel ruolo area di lavoro Visualizzatoreo con autorizzazione lettura per l'elemento. Gli amministratori, i membri e i collaboratori non sono interessati dai ruoli di sicurezza di OneLake e possono leggere e scrivere tutti i dati in un elemento indipendentemente dall'appartenenza al ruolo. Esiste un ruolo DefaultReader in tutti i lakehouse che concede a qualsiasi utente con il permesso ReadAll l'accesso ai dati nel lakehouse. Il ruolo DefaultReader può essere eliminato o modificato per rimuovere tale accesso.
Altre informazioni sulla creazione di ruoli di sicurezza di OneLake per tabelle e cartelle, colonne e righe.
Altre informazioni sul modello di controllo di accesso per la sicurezza di OneLake.
Autorizzazioni di calcolo
Le autorizzazioni di calcolo sono un tipo di autorizzazione del piano dati applicabile a un motore di query specifico in Microsoft Fabric. L'accesso concesso si applica solo alle query eseguite su quel motore specifico, ad esempio l'endpoint SQL o un modello semantico di Power BI. Tuttavia, gli utenti potrebbero visualizzare risultati diversi quando accedono ai dati tramite un motore di calcolo rispetto a quando accedono direttamente ai dati in OneLake, a seconda delle autorizzazioni di calcolo applicate. La sicurezza di OneLake è l'approccio consigliato per proteggere i dati in OneLake per garantire risultati coerenti in tutti i motori con cui un utente potrebbe interagire.
I motori di calcolo possono avere funzionalità di sicurezza più avanzate che non sono ancora disponibili nella sicurezza di OneLake e in tal caso l'uso delle autorizzazioni di calcolo potrebbe essere necessario per risolvere alcuni scenari. Quando si usano le autorizzazioni di calcolo per proteggere l'accesso ai dati, assicurarsi che agli utenti finali venga concesso l'accesso solo al motore di calcolo in cui è impostata la sicurezza. Ciò impedisce l'accesso ai dati tramite un motore diverso senza le funzionalità di sicurezza necessarie.
Sicurezza delle scorciatoie
I collegamenti in Microsoft Fabric consentono una gestione dei dati semplificata. La sicurezza delle cartelle OneLake si applica ai collegamenti OneLake in base ai ruoli definiti nel sistema di archiviazione dati (lakehouse) dove i dati sono archiviati.
Per altre informazioni sulle considerazioni sulla sicurezza dei collegamenti, vedere Modello di controllo degli accessi alla sicurezza di OneLake.
Per informazioni sull'accesso e sull'autenticazione per collegamenti specifici, vedere tipi di collegamenti a OneLake.
Autenticazione
OneLake usa Microsoft Entra ID per l'autenticazione; è possibile usarlo per concedere le autorizzazioni alle identità utente e alle entità servizio. OneLake estrae automaticamente l'identità utente dagli strumenti, che utilizzano l'autenticazione di Microsoft Entra e ne esegue il mapping alle autorizzazioni impostate nel portale di Fabric.
Nota
Per usare le entità servizio in un tenant di Fabric, un amministratore del tenant deve abilitare i nomi delle entità servizio (SPN) per l'intero tenant o specifici gruppi di sicurezza. Scopri di più su come abilitare le entità servizio nelle Impostazioni sviluppatore del portale di amministrazione del tenant.
Registri di audit
Per visualizzare i log di controllo di OneLake, seguire le istruzioni in Tenere traccia delle attività degli utenti in Microsoft Fabric. I nomi delle operazioni di OneLake corrispondono alle API ADLS, ad esempio, CreateFile o DeleteFile. I log di controllo di OneLake non includono richieste di lettura o richieste effettuate a OneLake tramite carichi di lavoro di Fabric.
Crittografia e networking
Dati inattivi
Per impostazione predefinita i dati archiviati in OneLake vengono crittografati inattivi usando una chiave gestita da Microsoft. Le chiavi gestite da Microsoft vengono ruotate in modo appropriato. I dati in OneLake vengono crittografati e decrittografati in modo trasparente e sono conformi con FIPS 140-2.
È possibile usare la crittografia dei dati a riposo usando chiavi gestite dal cliente per aggiungere un altro livello di protezione usando chiavi che possiedi e controlli. Per altre informazioni, vedere Chiavi gestite dal cliente per le aree di lavoro di Fabric.
Dati in transito
I dati in transito attraverso l'internet pubblico tra i servizi Microsoft sono sempre crittografati con almeno TLS 1.2. Fabric cerca di negoziare TLS 1.3 ogni volta che è possibile. Il traffico tra i servizi Microsoft viene sempre instradato attraverso la rete globale Microsoft.
La comunicazione in entrata di OneLake applica anche TLS 1.2 e negozia con TLS 1.3, quando possibile. La comunicazione di Fabric in uscita all'infrastruttura di proprietà del cliente preferisce protocolli sicuri, ma potrebbe eseguire il fallback a protocolli meno recenti e non sicuri (incluso TLS 1.0) quando i protocolli più recenti non sono supportati.
Collegamenti privati
Per configurare i collegamenti privati in Fabric, vedere Configurare e usare i collegamenti privati.
Consentire alle app in esecuzione al di fuori di Fabric di accedere ai dati tramite OneLake
È possibile consentire o limitare l'accesso ai dati di OneLake dalle applicazioni esterne all'ambiente Fabric. Gli amministratori possono trovare questa impostazione nella sezione OneLake delle impostazioni del tenant del portale di amministrazione.
Quando si attiva questa impostazione, gli utenti possono accedere ai dati da tutte le origini. Ad esempio, attivare questa impostazione se sono presenti applicazioni personalizzate che usano LE API di Azure Data Lake Storage (ADLS) o OneLake File Explorer. Quando si disattiva questa impostazione, gli utenti possono comunque accedere ai dati da app interne come Spark, Data Engineering e Data Warehouse, ma non possono accedere ai dati dalle applicazioni in esecuzione all'esterno degli ambienti fabric.