Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
OneLake è un data lake gerarchico, come Azure Data Lake Storage (ADLS) Gen2 o il file system Windows. La sicurezza in OneLake viene applicata sia sul piano di controllo che sul piano dati:
- Autorizzazioni del piano di controllo: regola le azioni che gli utenti possono eseguire all'interno dell'ambiente, ad esempio la creazione, la gestione o la condivisione di elementi. Le autorizzazioni del piano di controllo spesso forniscono autorizzazioni del piano dati per impostazione predefinita.
- Autorizzazioni del piano dati: determina quali dati gli utenti possono accedere o visualizzare, indipendentemente dalla loro capacità di gestire le risorse.
È possibile impostare la sicurezza a ogni livello all'interno del data lake. Tuttavia, alcuni livelli della gerarchia ricevono un trattamento speciale perché sono correlati ai concetti di Fabric. La sicurezza di OneLake controlla tutti gli accessi ai dati di OneLake con autorizzazioni ereditate dall'elemento o dall'area di lavoro padre. È possibile impostare le autorizzazioni ai livelli seguenti:
Area di lavoro: ambiente collaborativo per la creazione e la gestione degli elementi. La sicurezza viene gestita tramite i ruoli dell'area di lavoro a questo livello.
Elemento: un set di funzionalità raggruppate in un singolo componente. Un elemento dati è un sottotipo di elemento che consente di archiviare i dati all'interno di esso usando OneLake, ad esempio una lakehouse, un warehouse o un database SQL. Gli elementi ereditano le autorizzazioni dai ruoli dell'area di lavoro, ma possono avere anche autorizzazioni aggiuntive.
Cartelle: si usano cartelle all'interno di un elemento per l'archiviazione e la gestione dei dati, ad esempio Tabelle/ o File/.
Gli elementi si trovano sempre all'interno delle aree di lavoro e le aree di lavoro si trovano sempre direttamente nello spazio dei nomi OneLake. È possibile visualizzare questa struttura nel modo seguente:
Autorizzazioni in OneLake
Questa sezione descrive come le autorizzazioni in OneLake gestiscono l'accesso a livello di area di lavoro e di elemento.
Autorizzazioni dell'area di lavoro
Le autorizzazioni dell'area di lavoro definiscono le azioni che gli utenti possono eseguire all'interno di un'area di lavoro e dei relativi elementi. Gestire queste autorizzazioni a livello di area di lavoro. Queste autorizzazioni sono principalmente autorizzazioni del control plane. Determinano funzionalità amministrative e di gestione degli elementi, non l'accesso diretto ai dati. Tuttavia, gli elementi e le cartelle in genere ereditano le autorizzazioni dell'area di lavoro per concedere l'accesso ai dati per impostazione predefinita. Le autorizzazioni dell'area di lavoro definiscono l'accesso a tutti gli elementi all'interno dell'area di lavoro.
I quattro diversi ruoli dell'area di lavoro concedono diversi tipi di accesso. La tabella seguente elenca i comportamenti predefiniti di ogni ruolo dell'area di lavoro:
| Ruolo | È possibile aggiungere amministratori? | È possibile aggiungere membri? | È possibile modificare la sicurezza di OneLake? | È possibile scrivere dati e creare elementi? | È possibile leggere i dati in OneLake? | È possibile aggiornare ed eliminare l'area di lavoro? |
|---|---|---|---|---|---|---|
| Amministratore | Sì | Sì | Sì | Sì | Sì | Sì |
| Membro | NO | Sì | Sì | Sì | Sì | NO |
| Contributore | NO | NO | NO | Sì | Sì | NO |
| Visualizzatore | NO | NO | NO | NO | No* | NO |
* È possibile concedere ai visualizzatori l'accesso ai dati usando i ruoli di sicurezza di OneLake.
Altre informazioni sui ruoli nelle aree di lavoro in Microsoft Fabric.
Semplifica la gestione dei ruoli di workspace di Fabric assegnandoli ai gruppi di sicurezza. Questo metodo consente di controllare l'accesso aggiungendo o rimuovendo membri dal gruppo di sicurezza.
Autorizzazioni per gli elementi
Usando la funzionalità di condivisione , è possibile concedere a un utente l'accesso diretto a un elemento. L'utente può visualizzare solo l'elemento nell'area di lavoro e non è membro di alcun ruolo dell'area di lavoro. Le autorizzazioni degli elementi concedono l'accesso per connettersi a tale elemento e a qualsiasi endpoint a cui l'utente può accedere.
| Autorizzazione | È possibile vedere i metadati di un elemento? | È possibile vedere i dati in SQL? | È possibile vedere i dati in OneLake? |
|---|---|---|---|
| Leggi | Sì | NO | NO |
| LeggiDati | NO | Sì | NO |
| LeggiTutto | NO | NO | Sì* |
* Non applicabile agli elementi con la sicurezza oneLake abilitata. Se la sicurezza di OneLake è abilitata, ReadAll concede l'accesso solo se il ruolo DefaultReader è in uso. Se il ruolo DefaultReader viene modificato o eliminato, l'accesso viene invece concesso in base ai ruoli di accesso ai dati di cui fa parte l'utente.
Un altro modo per configurare le autorizzazioni è tramite la pagina Gestisci autorizzazioni di un elemento. Usando questa pagina, è possibile aggiungere o rimuovere l'autorizzazione per singoli elementi per utenti o gruppi. Il tipo di elemento determina le autorizzazioni disponibili.
Sicurezza di OneLake (anteprima)
La sicurezza di OneLake consente di definire una sicurezza granulare basata sui ruoli per i dati archiviati in OneLake e di applicare tale sicurezza in modo coerente in tutti i motori di calcolo in Fabric. La sicurezza di OneLake è il modello di sicurezza del piano dati per i dati in OneLake.
Gli utenti dell'infrastruttura nei ruoli amministratore o membro possono creare ruoli di sicurezza di OneLake per concedere agli utenti l'accesso ai dati all'interno di un elemento. Ogni ruolo è costituito da quattro componenti:
- Dati: tabelle o cartelle a cui gli utenti possono accedere.
- Autorizzazione: autorizzazioni per i dati degli utenti.
- Membri: utenti che sono membri del ruolo.
- Vincoli: componenti dei dati, se presenti, esclusi dall'accesso ai ruoli, ad esempio righe o colonne specifiche.
I ruoli di sicurezza di OneLake concedono l'accesso ai dati per gli utenti nel ruolo area di lavoro Visualizzatoreo con autorizzazione lettura per l'elemento. Gli amministratori, i membri e i collaboratori non sono interessati dai ruoli di sicurezza di OneLake e possono leggere e scrivere tutti i dati in un elemento indipendentemente dall'appartenenza al ruolo. Il ruolo DefaultReader esiste in tutti i lakehouse e concede a qualsiasi utente con il permesso ReadAll l'accesso ai dati nel lakehouse. È possibile eliminare o modificare il ruolo DefaultReader per rimuovere tale accesso.
Altre informazioni sulla creazione di ruoli di sicurezza di OneLake per tabelle e cartelle, colonne e righe.
Altre informazioni sul modello di controllo di accesso per la sicurezza di OneLake.
Autorizzazioni di calcolo
Le autorizzazioni di calcolo sono un tipo di autorizzazione del piano dati applicabile a un motore di query specifico in Microsoft Fabric. L'accesso concesso si applica solo alle query eseguite su quel motore specifico, ad esempio l'endpoint SQL o un modello semantico di Power BI. A seconda delle autorizzazioni di calcolo, gli utenti potrebbero visualizzare risultati diversi quando accedono ai dati tramite un motore di calcolo rispetto a quando accedono direttamente ai dati in OneLake.
Usare la sicurezza di OneLake per proteggere i dati in OneLake anziché le autorizzazioni di calcolo. La sicurezza di OneLake garantisce risultati coerenti in tutti i motori con cui un utente potrebbe interagire.
I motori di calcolo potrebbero avere funzionalità di sicurezza più avanzate che non sono disponibili nella sicurezza di OneLake. In tal caso, alcuni scenari potrebbero richiedere l'uso delle autorizzazioni di calcolo. Quando si usano le autorizzazioni di calcolo per proteggere l'accesso ai dati, assicurarsi di concedere agli utenti finali l'accesso solo al motore di calcolo in cui è impostata la sicurezza. Questa procedura consigliata impedisce l'accesso ai dati tramite un motore diverso senza le funzionalità di sicurezza necessarie.
Sicurezza delle scorciatoie
I collegamenti in Microsoft Fabric semplificano la gestione dei dati. La sicurezza delle cartelle OneLake si applica ai collegamenti OneLake in base ai ruoli definiti nel sistema di archiviazione dati (lakehouse) dove i dati sono archiviati.
Per altre informazioni sulle considerazioni sulla sicurezza dei collegamenti, vedere Collegamenti al modello > di controllo degli accessi alla sicurezza di OneLake.
Per informazioni sull'accesso e sull'autenticazione per collegamenti specifici, vedere tipi di collegamenti a OneLake.
Autenticazione
OneLake usa l'ID Microsoft Entra per l'autenticazione. Usarlo per concedere le autorizzazioni alle identità utente e ai principali del servizio. OneLake estrae automaticamente l'identità utente dagli strumenti che usano l'autenticazione di Microsoft Entra e ne esegue il mapping alle autorizzazioni impostate nel portale di Fabric.
Nota
Per usare le entità servizio in un tenant di Fabric, un amministratore del tenant deve abilitare i nomi delle entità servizio (SPN) per l'intero tenant o specifici gruppi di sicurezza. Scopri di più su come abilitare le entità servizio nelle Impostazioni sviluppatore del portale di amministrazione del tenant.
Registri di audit
Per visualizzare i log di controllo di OneLake, seguire le istruzioni in Tenere traccia delle attività degli utenti in Microsoft Fabric. I nomi delle operazioni di OneLake corrispondono alle API ADLS, ad esempio, CreateFile o DeleteFile. I log di controllo di OneLake non includono richieste di lettura o richieste effettuate a OneLake tramite carichi di lavoro di Fabric.
Crittografia e networking
Dati statici
I dati archiviati in OneLake vengono crittografati a riposo per impostazione predefinita usando chiavi gestite da Microsoft. Le chiavi gestite da Microsoft vengono ruotate in modo appropriato. OneLake crittografa e decrittografa i dati in modo trasparente ed è conforme a FIPS 140-2.
È possibile utilizzare la crittografia per i dati inattivi con chiavi gestite dal cliente, aggiungendo così un ulteriore livello di protezione grazie alle chiavi che si possiedono e controllano direttamente. Per altre informazioni, vedere Chiavi gestite dal cliente per le aree di lavoro di Fabric.
Dati in transito
I dati in transito attraverso la rete Internet pubblica tra i servizi Microsoft vengono sempre crittografati usando almeno TLS 1.2. Fabric cerca di negoziare TLS 1.3 ogni volta che è possibile. Il traffico tra i servizi Microsoft viene sempre instradato attraverso la rete globale Microsoft.
La comunicazione in entrata di OneLake applica anche TLS 1.2 e negozia con TLS 1.3, quando possibile. La comunicazione di Fabric in uscita all'infrastruttura di proprietà del cliente preferisce protocolli sicuri, ma potrebbe eseguire il fallback a protocolli meno recenti e non sicuri (incluso TLS 1.0) quando i protocolli più recenti non sono supportati.
Collegamenti privati
Per configurare i collegamenti privati in Fabric, vedere Configurare e usare i collegamenti privati.
Consentire alle app in esecuzione al di fuori di Fabric di accedere ai dati tramite OneLake
È possibile consentire o limitare l'accesso ai dati di OneLake dalle applicazioni esterne all'ambiente Fabric. Gli amministratori possono trovare questa impostazione nella sezione OneLake delle impostazioni del tenant del portale di amministrazione.
Quando si attiva questa impostazione, gli utenti possono accedere ai dati da tutte le origini. Ad esempio, attivare questa impostazione se sono presenti applicazioni personalizzate che usano LE API di Azure Data Lake Storage (ADLS) o OneLake File Explorer. Quando si disattiva questa impostazione, gli utenti possono comunque accedere ai dati da app interne come Spark, Data Engineering e Data Warehouse, ma non possono accedere ai dati dalle applicazioni in esecuzione all'esterno degli ambienti fabric.