Sicurezza di OneLake
OneLake usa un modello di sicurezza a livelli basato sulla struttura organizzativa dei componenti all'interno di Microsoft Fabric. La sicurezza deriva dall'autenticazione di Azure Active Directory (Azure AD) ed è compatibile con identità utente, entità servizio e identità gestite. Usando i componenti di Azure AD e Fabric, è possibile creare meccanismi di sicurezza affidabili in OneLake, assicurandosi che i dati siano sicuri riducendo anche le copie e riducendo al minimo la complessità.
Importante
Microsoft Fabric è in anteprima.
Sicurezza dell'area di lavoro
L'area di lavoro è il limite di sicurezza principale per i dati all'interno di OneLake. Ogni area di lavoro rappresenta un singolo dominio o un'area di progetto in cui i team possono collaborare sui dati. La sicurezza nell'area di lavoro viene gestita tramite i ruoli dell'area di lavoro di Fabric. Altre informazioni sul controllo degli accessi in base al ruolo (RBAC): Ruoli dell'area di lavoro
I ruoli dell'area di lavoro in Fabric concedono le autorizzazioni seguenti in OneLake.
| Capacità | Admin | Membro | Collaboratore | Visualizzatore |
|---|---|---|---|---|
| Visualizzare i file in OneLake | Sì | Sì | Sì | No |
| Scrivere file in OneLake | Sì | Sì | Sì | No |
Sicurezza specifica del calcolo
Alcuni motori di calcolo in Fabric hanno modelli di sicurezza personalizzati. Ad esempio, Fabric Warehouse consente agli utenti di definire l'accesso usando istruzioni T-SQL. La sicurezza specifica del calcolo viene sempre applicata quando si accede ai dati usando tale motore, ma queste condizioni potrebbero non essere applicate agli utenti in determinati ruoli di Infrastruttura quando accedono direttamente a OneLake. Per altre informazioni sui tipi di sicurezza di calcolo, vedere la documentazione per Warehouse, analisi in tempo reale e set di dati di Power BI.
Come regola, gli utenti nel ruolo Visualizzatore possono accedere solo ai dati tramite i motori di calcolo e le regole di sicurezza definite in tali motori. Tutti gli altri ruoli hanno accesso diretto a OneLake, consentendo loro di eseguire query sui dati tramite Spark, API o un Esplora file di OneLake. Tuttavia, la sicurezza specifica del calcolo si applica ancora a tali utenti quando si accede ai dati tramite tale motore di calcolo.
Esempio: Martha è un amministratore di un'area di lavoro Fabric e Pradeep è un Visualizzatore. Martha vuole limitare l'accesso a determinate tabelle in LakehouseA. Si connette a SQL e definisce la sicurezza a livello di oggetto usando le istruzioni GRANT e DENY. Quando Pradeep accede ai dati tramite SQL, è in grado di visualizzare solo le tabelle da LakehouseA a cui è stato concesso l'accesso.
Sicurezza dei tasti di scelta rapida
I collegamenti in Microsoft Fabric consentono la gestione dei dati notevolmente semplificata, ma sono necessarie alcune considerazioni sulla sicurezza. Per informazioni sulla gestione della sicurezza dei collegamenti, vedere questo documento.
Authentication
OneLake usa Azure Active Directory (Azure AD) per l'autenticazione; è possibile usarlo per concedere le autorizzazioni alle identità utente e alle entità servizio. OneLake estrae automaticamente l'identità utente dagli strumenti, che usano l'autenticazione di Azure AD e la esegue il mapping alle autorizzazioni impostate nel portale di Fabric.
Nota
Per usare le entità servizio in un tenant di Infrastruttura, un amministratore tenant deve abilitare nomi entità servizio per l'intero tenant o gruppi di sicurezza specifici.
Collegamenti privati
Fabric attualmente non supporta l'accesso privato ai dati di OneLake tramite prodotti non fabric e Spark.
Consentire alle app in esecuzione all'esterno di Fabric di accedere ai dati tramite OneLake
OneLake offre la possibilità di limitare l'accesso ai dati dalle applicazioni in esecuzione all'esterno degli ambienti di Fabric. Gli amministratori possono trovare l'impostazione nel portale di amministrazione del tenant. Quando questa opzione è attivata, i dati possono essere accessibili tramite tutte le origini. Quando questo commutato viene disattivato, i dati non possono essere accessibili tramite applicazioni in esecuzione all'esterno degli ambienti di Infrastruttura. Ad esempio, i dati possono essere accessibili tramite applicazioni come Azure Databricks, applicazioni personalizzate con API ADLS o Esplora file OneLake.