Panoramica della sicurezza di OneLake
OneLake è un data lake gerarchico, ad esempio Azure Data Lake Archiviazione (ADLS) Gen2 o il file system Windows. Questa struttura consente di impostare la sicurezza a livelli diversi nella gerarchia per gestire l'accesso. Alcuni livelli della gerarchia vengono considerati trattamenti speciali in relazione con i concetti di Fabric.
Area di lavoro: un ambiente collaborativo per la creazione e la gestione degli elementi.
Elemento: un set di funzionalità raggruppate in un singolo componente. Un elemento di dati è un sottotipo di elemento che consente di archiviare i dati all'interno di esso usando OneLake.
Cartelle: cartelle all'interno di un elemento utilizzato per l'archiviazione e la gestione dei dati.
Gli elementi sono sempre presenti all'interno di aree di lavoro e aree di lavoro sempre direttamente nello spazio dei nomi OneLake. È possibile visualizzare questa struttura nel modo seguente:
Autorizzazioni dell'area di lavoro
Le autorizzazioni dell'area di lavoro consentono di definire l'accesso a tutti gli elementi all'interno dell'area di lavoro. Esistono 4 ruoli dell'area di lavoro diversi, ognuno dei quali concede diversi tipi di accesso.
| Ruolo | È possibile aggiungere amministratori? | È possibile aggiungere membri? | È possibile scrivere dati e creare elementi? | È possibile leggere i dati? |
|---|---|---|---|---|
| Amministratore | Sì | Sì | Sì | Sì |
| Membro | No | Sì | Sì | Sì |
| Collaboratore | No | No | Sì | Sì |
| Visualizzatore | No | No | No | Sì |
Nota
È possibile visualizzare l'elemento Warehouse con ruoli di lettura/scrittura, ma è possibile scrivere solo nei warehouse usando query SQL.
È possibile semplificare la gestione dei ruoli dell'area di lavoro infrastruttura assegnandoli ai gruppi di sicurezza. Questo metodo consente di controllare l'accesso aggiungendo o rimuovendo membri dal gruppo di sicurezza.
Autorizzazioni degli elementi
Con la funzionalità di condivisione , è possibile concedere a un utente l'accesso diretto a un elemento. L'utente può visualizzare solo l'elemento nell'area di lavoro e non è membro di alcun ruolo dell'area di lavoro. Le autorizzazioni degli elementi concedono l'accesso per connettersi all'elemento e agli endpoint dell'elemento a cui l'utente può accedere.
| Autorizzazione | Visualizzare i metadati dell'elemento? | Vedere i dati in SQL? | Visualizzare i dati in OneLake? |
|---|---|---|---|
| Lettura | Sì | No | No |
| Readdata | No | Sì | No |
| ReadAll | No | No | Sì* |
*Non applicabile agli elementi con i ruoli di accesso ai dati OneLake (anteprima) abilitati. Se l'anteprima è abilitata, ReadAll concederà l'accesso solo se è in uso il ruolo DefaultReader. Se tale ruolo viene modificato o eliminato, l'accesso viene invece concesso in base ai ruoli di accesso ai dati di cui fa parte l'utente.
Un altro modo per configurare le autorizzazioni consiste nell'usare la pagina Gestisci autorizzazioni di un elemento. Usando questa pagina, è possibile aggiungere o rimuovere l'autorizzazione per singoli elementi per utenti o gruppi. Le autorizzazioni esatte disponibili sono determinate dal tipo di elemento.
Autorizzazioni di calcolo
L'accesso ai dati può essere concesso anche tramite il motore di calcolo SQL in Microsoft Fabric. L'accesso concesso tramite SQL si applica solo agli utenti che accedono ai dati tramite SQL, ma è possibile usare questa sicurezza per concedere l'accesso più selettivo a determinati utenti. Nello stato corrente, SQL supporta la limitazione dell'accesso a tabelle e schemi specifici, nonché alla sicurezza a livello di riga e colonna.
Gli utenti che accedono ai dati tramite SQL possono visualizzare risultati diversi rispetto all'accesso ai dati direttamente in OneLake a seconda delle autorizzazioni di calcolo applicate. Per evitare questo problema, assicurarsi che le autorizzazioni degli elementi di un utente siano configurate in modo da concedere loro l'accesso solo all'endpoint SQL (usando ReadData) o OneLake (usando l'anteprima dei ruoli di accesso ai dati o ReadAll).
Nell'esempio seguente, a un utente viene concesso l'accesso in sola lettura a una lakehouse tramite la condivisione di elementi. All'utente viene concessa l'autorizzazione edizione Standard LECT per una tabella tramite l'endpoint di analisi SQL. Quando l'utente tenta di leggere i dati tramite le API OneLake, viene negato l'accesso perché non dispone di autorizzazioni sufficienti. L'utente può leggere correttamente le istruzioni SQL edizione Standard LECT.
Ruoli di accesso ai dati OneLake (anteprima)
I ruoli di accesso ai dati di OneLake sono una nuova funzionalità che consente di applicare il controllo degli accessi in base al ruolo ai dati archiviati in OneLake. È possibile definire ruoli di sicurezza che concedono l'accesso in lettura a cartelle specifiche all'interno di un elemento di Fabric e assegnarli a utenti o gruppi. Le autorizzazioni di accesso determinano le cartelle visualizzate dagli utenti quando accedono alla visualizzazione lake dei dati tramite l'esperienza utente, i notebook o le API OneLake di LakeHouse.
Gli utenti dell'infrastruttura nei ruoli Amministrazione, Membro o Collaboratore possono iniziare creando ruoli di accesso ai dati di OneLake per concedere l'accesso solo a cartelle specifiche in una lakehouse. Per concedere l'accesso ai dati in un lakehouse, aggiungere utenti a un ruolo di accesso ai dati. Gli utenti che non fanno parte di un ruolo di accesso ai dati non vedranno dati in tale lakehouse.
Altre informazioni sulla creazione di ruoli di accesso ai dati in Introduzione ai ruoli di accesso ai dati.
Altre informazioni sul modello di sicurezza per l'accesso ai ruoli Data Controllo di accesso Model.
Sicurezza dei tasti di scelta rapida
I collegamenti in Microsoft Fabric consentono una gestione semplificata dei dati, ma tenere presenti alcune considerazioni sulla sicurezza. Per informazioni sulla gestione della sicurezza dei collegamenti, vedere questo documento.
Per i ruoli di accesso ai dati di OneLake (anteprima), i collegamenti ricevono un trattamento speciale a seconda del tipo di collegamento. L'accesso a un collegamento OneLake è sempre controllato dai ruoli di accesso nella destinazione del collegamento. Ciò significa che per un collegamento da LakehouseA a LakehouseB, la sicurezza di LakehouseB diventa effettiva. I ruoli di accesso ai dati in LakehouseA non possono concedere o modificare la sicurezza del collegamento a LakehouseB.
Per i collegamenti esterni ad Amazon S3 o ADLS Gen2, la sicurezza viene configurata tramite i ruoli di accesso ai dati nella lakehouse stessa. Un collegamento da LakehouseA a un bucket S3 può avere ruoli di accesso ai dati configurati in LakehouseA. È importante notare che solo il livello radice del collegamento può essere applicato. L'assegnazione dell'accesso alle sottocartelle del collegamento genererà errori di creazione del ruolo.
Altre informazioni sul modello di sicurezza per i collegamenti in Data Controllo di accesso Model
Contenuto correlato
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per