Proteggere i dati con Fabric, i motori di calcolo e OneLake
Fabric offre un modello di sicurezza su più livelli per la gestione dell'accesso ai dati. La sicurezza può essere impostata per un'intera area di lavoro, per singoli articoli o tramite autorizzazioni granulari in ogni motore di Fabric. In questo documento vengono descritte le considerazioni sulla sicurezza di OneLake.
Ruoli di accesso ai dati OneLake (anteprima)
I ruoli di accesso ai dati di OneLake (anteprima) consentono agli utenti di creare ruoli personalizzati all'interno di un lakehouse e di concedere permessi di lettura solo alle cartelle specificate quando viene effettuato l'accesso a OneLake. Per ogni ruolo OneLake, gli utenti possono assegnare utenti, gruppi di sicurezza o concedere un'assegnazione automatica in base al ruolo dell'area di lavoro.
Altre informazioni su Modello di controllo di accesso ai dati OneLake e Attività iniziali di accesso ai dati.
Sicurezza dei collegamenti
I collegamenti in Microsoft Fabric consentono una gestione dei dati semplificata. La sicurezza della cartella OneLake viene applicata per i collegamenti OneLake in base ai ruoli definiti nel lakehouse in cui vengono archiviati i dati.
Per altre informazioni riguardo alle considerazioni sulla sicurezza dei collegamenti, vedere Modello di controllo di accesso OneLake. Altre informazioni sui collegamenti sono disponibili qui.
Autenticazione
OneLake usa Microsoft Entra ID per l'autenticazione; è possibile usarlo per concedere le autorizzazioni alle identità utente e alle entità servizio. OneLake estrae automaticamente l'identità utente dagli strumenti, che usano l'autenticazione di Microsoft Entra e ne esegue il mapping alle autorizzazioni impostate nel portale di Fabric.
Nota
Per usare le entità servizio in un tenant di Fabric, un amministratore tenant deve abilitare i nomi delle entità servizio (SPN) per l'intero tenant o gruppi di sicurezza specifici. Altre informazioni sull'abilitazione delle entità servizio in Impostazioni sviluppatore del portale di amministratore tenant
Log di controllo
Per visualizzare i log di controllo di OneLake, seguire le istruzioni in Tenere traccia delle attività degli utenti in Microsoft Fabric. I nomi delle operazioni di OneLake corrispondono alle API ADLS, ad esempio, CreateFile o DeleteFile. I log di controllo di OneLake non includono richieste di lettura o richieste effettuate a OneLake tramite carichi di lavoro di Fabric.
Crittografia e networking
Dati inattivi
I dati archiviati vengono crittografati inattivi usando una chiave gestita da Microsoft. Le chiavi gestite da Microsoft vengono ruotate in modo appropriato. I dati in OneLake vengono crittografati e decrittografati in modo trasparente e sono conformi con FIPS 140-2.
La crittografia della chiave gestita dal cliente non è attualmente supportata. È possibile inviare una richiesta per questa funzionalità in Microsoft Fabric Ideas.
Dati in movimento
I dati in movimento attraverso internet pubblico tra servizi Microsoft vengono sempre crittografati con archiviazione thread-local (TLS) almeno 1.2. Fabric negozia TLS 1.3, quando possibile. Il traffico tra servizi Microsoft viene indirizzato sempre attraverso la rete globale Microsoft.
La comunicazione OneLake in entrata applica anche TLS 1.2 e negozia con TLS 1.3, quando possibile. La comunicazione di Fabric in uscita all'infrastruttura di proprietà della società preferisce protocolli di sicurezza, ma potrebbe eseguire il fallback a protocolli meno recenti e non sicuri (incluso TLS 1.0) quando i protocolli più recenti non sono supportati.
Collegamenti privati
Per configurare collegamenti privati in Fabric, vedere Configurare e usare collegamenti privati.
Consentire alle app in esecuzione al di fuori di Fabric di accedere ai dati tramite OneLake
OneLake consente di limitare l'accesso ai dati dalle applicazioni in esecuzione al di fuori degli ambienti di Fabric. Gli amministratori possono trovare l'impostazione nella sezione OneLake del portale amministratore tenant. Quando si abilita questa opzione, gli utenti possono accedere ai dati tramite tutte le origini. Quando si disattiva l'opzione, gli utenti non possono accedere ai dati tramite applicazioni in esecuzione all'esterno degli ambienti di Fabric. Ad esempio, gli utenti possono accedere ai dati tramite applicazioni usando le API di Azure Data Lake Storage (ADLS) o Esplora file di OneLake.