この記事は、Microsoft Fabric でミラー化された Azure Databricks でデータ セキュリティを確立するのに役立ちます。
Unity カタログ
ユーザーは、Fabric で Unity カタログのポリシーとアクセス許可を再構成する必要があります。
Azure Databricks カタログを Fabric で使用できるようにするには、「 Unity カタログのデータへの外部アクセスを制御する」を参照してください。
Unity カタログのポリシーとアクセス許可は、Fabric ではミラー化されません。 ユーザーは Fabric で Unity カタログのポリシーとアクセス許可を再利用できません。 Azure Databricks 内のカタログ、スキーマ、テーブルに設定されたアクセス許可は、Fabric ワークスペースに引き継がれます。 Fabric のオブジェクトに対するアクセス制御を設定するには、Fabric のアクセス許可モデルを使用する必要があります。
このカタログ ミラーリングの Unity カタログへの接続を作成するために使用される資格情報は、すべてのデータ クエリに使用されます。
信頼されたワークスペース アクセスを使用してファイアウォールが有効な ADLS ストレージにアクセスする
Microsoft Fabric への Azure Databricks ミラーリングを構成する場合は、 信頼されたワークスペース アクセス を有効にして、ファイアウォールが有効な Azure Data Lake Storage (ADLS) Gen2 アカウントにアクセスします。
信頼されたワークスペース アクセスでは、Azure Databricks ワークスペース接続とは別に使用できる ADLS ストレージ アカウントへの直接接続を作成する必要があります。 RLS/CLM や ABAC などの Unity カタログ ポリシーは、ストレージ レイヤーでは適用されず、接続を使用してストレージに直接アクセスする場合は適用されません。 信頼されたワークスペース アクセスは、代わりに Fabric ワークスペース ID の管理とガバナンスに依存します。
チュートリアルの手順に従って 、ネットワーク セキュリティ アクセスを有効にします。 コンテナー内の特定のフォルダーを指定してストレージ アカウントを細かく制御し、 Azure portal を使用して Azure ロールを割り当てることをお勧めします。
Permissions
Azure Databricks ワークスペース内のカタログ、スキーマ、テーブルに設定されたアクセス許可は、Fabric ワークスペースにレプリケートできません。 Fabric のアクセス許可モデルを使用して、Fabric のカタログ、スキーマ、およびテーブルのアクセス制御を設定します。
ミラー化するオブジェクトを選択すると、アクセス権を持つカタログ/スキーマ/テーブルは、 Unity カタログ権限とセキュリティ保護可能なオブジェクトで説明されている特権モデルに従って付与された権限に従って表示されます。
Fabric ワークスペースのセキュリティの設定の詳細については、Microsoft Fabric のワークスペースのアクセス許可モデルとロールを参照してください。