OneLake는 ADLS (Azure 데이터 레이크 저장소) Gen2 혹은 Windows 파일 시스템과 같은 계층적 데이터 레이크입니다. OneLake의 보안은 컨트롤 플레인과 데이터 평면 모두에 적용됩니다.
- 컨트롤 플레인 권한: 사용자가 환경 내에서 수행할 수 있는 작업(예: 항목 만들기, 관리 또는 공유)을 제어합니다. 컨트롤 플레인 사용 권한은 기본적으로 데이터 평면 권한을 제공하는 경우가 많습니다.
- 데이터 평면 권한: 리소스를 관리하는 기능에 관계없이 사용자가 액세스하거나 볼 수 있는 데이터를 제어합니다.
데이터 레이크 내의 각 수준에서 보안을 설정할 수 있습니다. 그러나 계층 구조의 일부 수준은 패브릭 개념과 상관 관계가 있으므로 특별한 처리를 받습니다. OneLake 보안 은 부모 항목 또는 작업 영역에서 상속된 권한으로 OneLake 데이터에 대한 모든 액세스를 제어합니다. 다음 수준에서 사용 권한을 설정할 수 있습니다.
작업 영역: 항목을 만들고 관리하기 위한 공동 작업 환경입니다. 이 수준에서 작업 영역 역할을 통해 보안을 관리합니다.
항목: 단일 구성 요소에 함께 번들로 제공되는 기능 집합입니다. 데이터 항목은 레이크하우스, 웨어하우스 또는 SQL 데이터베이스와 같은 OneLake를 사용하여 데이터를 해당 항목 내에 저장할 수 있는 항목의 하위 유형입니다. 항목은 작업 영역 역할에서 권한을 상속하지만 추가 권한도 가질 수 있습니다.
폴더: 테이블/또는 파일/과 같은 데이터를 저장하고 관리하기 위해 항목 내의 폴더를 사용합니다.
항목은 항상 작업 영역 내에 있으며 작업 영역은 항상 OneLake 네임스페이스 바로 아래에 있습니다. 이 구조는 다음과 같이 시각화할 수 있습니다.
OneLake의 사용 권한
이 섹션에서는 OneLake의 사용 권한이 작업 영역 및 항목 수준에서 액세스를 관리하는 방법을 설명합니다.
작업 영역 권한
작업 영역 권한은 사용자가 작업 영역 및 해당 항목 내에서 수행할 수 있는 작업을 정의합니다. 작업 영역 수준에서 이러한 권한을 관리합니다. 이러한 권한은 주로 컨트롤 플레인 권한입니다. 직접 데이터 액세스가 아니라 관리 및 항목 관리 기능을 결정합니다. 그러나 항목 및 폴더는 일반적으로 기본적으로 데이터 액세스 권한을 부여할 작업 영역 권한을 상속합니다. 작업 영역 권한은 해당 작업 영역 내의 모든 항목에 대한 액세스를 정의합니다.
네 가지 작업 영역 역할은 서로 다른 유형의 액세스 권한을 부여합니다. 다음 표에서는 각 작업 영역 역할의 기본 동작을 나열합니다.
| 역할 | 관리자를 추가할 수 있는 건가요? | 구성원을 추가할 수 있는 건가요? | OneLake 보안을 편집할 수 있나요? | 데이터를 작성하고 항목을 만들 수 있는 건가요? | OneLake에서 데이터를 읽을 수 있나요? | 작업 영역을 업데이트하고 삭제할 수 있나요? |
|---|---|---|---|---|---|---|
| 관리자 | 예 | 예 | 예 | 예 | 예 | 예 |
| 회원 | 아니요 | 예 | 예 | 예 | 예 | 아니요 |
| 기여자 | 아니요 | 아니요 | 아니요 | 예 | 예 | 아니요 |
| 시청자 | 아니요 | 아니요 | 아니요 | 아니요 | 아니요* | 아니요 |
* OneLake 보안 역할을 사용하여 뷰어에게 데이터에 대한 액세스 권한을 부여할 수 있습니다.
Microsoft Fabric의 작업 영역에서 역할에 대해 자세히 알아봅니다.
패브릭 작업 영역 역할을 보안 그룹에 할당하여 관리를 간소화합니다. 이 방법을 사용하면 보안 그룹에서 멤버를 추가하거나 제거하여 액세스를 제어할 수 있습니다.
항목 권한
공유 기능을 사용하여 사용자에게 항목에 대한 직접 액세스 권한을 부여할 수 있습니다. 사용자는 작업 영역에서만 해당 항목을 보실 수 있고 작업 영역 역할의 구성원은 아닌 것입니다. 항목 권한은 해당 항목 및 사용자가 액세스할 수 있는 엔드포인트에 연결할 수 있는 액세스 권한을 부여합니다.
| 허가 | 항목 메타데이터를 확인해 보시겠어요? | SQL에서 데이터를 확인해 보시겠어요? | OneLake에서 데이터를 확인해 보시겠어요? |
|---|---|---|---|
| 읽기 | 예 | 아니요 | 아니요 |
| 데이터 읽기 | 아니요 | 예 | 아니요 |
| 모두 읽기 | 아니요 | 아니요 | 예* |
* OneLake 보안 이 설정된 항목에는 적용되지 않습니다. OneLake 보안을 사용하도록 설정하면 DefaultReader 역할이 사용 중인 경우에만 ReadAll이 액세스 권한을 부여합니다. DefaultReader 역할이 편집되거나 삭제되면 액세스 권한은 사용자가 속한 데이터 액세스 역할에 따라 부여됩니다.
사용 권한을 구성하는 또 다른 방법에는 항목의 사용 권한 관리 페이지를 사용해 보시는 것입니다. 이 페이지를 사용하시게 되면 사용자 혹은 그룹에 대한 개인별 항목 사용 권한을 추가하사거나 제거하실 수 있습니다. 항목 종류에 따라 사용 가능한 권한이 결정됩니다.
OneLake 보안(미리 보기)
OneLake 보안을 사용하면 OneLake에 저장된 데이터에 대한 세분화된 역할 기반 보안을 정의하고 패브릭의 모든 컴퓨팅 엔진에서 일관되게 보안을 적용할 수 있습니다. OneLake 보안은 OneLake의 데이터에 대한 데이터 평면 보안 모델입니다.
관리자 또는 멤버 역할의 패브릭 사용자는 OneLake 보안 역할을 만들어 사용자에게 항목 내의 데이터에 대한 액세스 권한을 부여할 수 있습니다. 각 역할에는 4가지 구성 요소가 있습니다.
- 데이터: 사용자가 액세스할 수 있는 테이블이나 폴더입니다.
- 권한: 사용자가 데이터에 대해 갖는 권한입니다.
- 멤버: 역할의 멤버인 사용자입니다.
- 제약 조건: 역할 액세스에서 제외되는 데이터 구성 요소(예: 특정 행이나 열)입니다.
OneLake 보안 역할은 뷰어 작업 영역 역할 또는 항목에 대한 읽기 권한이 있는 사용자의 데이터에 대한 액세스 권한을 부여합니다. 관리자, 구성원 및 참가자는 OneLake 보안 역할의 영향을 받지 않으며 역할 멤버 자격에 관계없이 항목의 모든 데이터를 읽고 쓸 수 있습니다. DefaultReader 역할은 모든 레이크하우스에 존재하며 레이크하우스의 데이터에 대한 ReadAll 권한 액세스 권한을 가진 모든 사용자에게 제공합니다. DefaultReader 역할을 삭제하거나 편집하여 해당 액세스를 제거할 수 있습니다.
테이블 및 폴더, 열, 행에 대한 OneLake 보안 역할을 만드는 방법에 대해 자세히 알아봅니다.
OneLake 보안에 대한 액세스 제어 모델에 대해 자세히 알아봅니다.
컴퓨팅 사용 권한
컴퓨팅 권한은 Microsoft Fabric의 특정 쿼리 엔진에 적용되는 데이터 평면 권한의 유형입니다. 부여된 액세스 권한은 SQL 엔드포인트 또는 Power BI 의미 체계 모델과 같은 특정 엔진에 대해 실행되는 쿼리에만 적용됩니다. 컴퓨팅 권한에 따라 사용자는 컴퓨팅 엔진을 통해 데이터에 액세스할 때 OneLake에서 직접 데이터에 액세스할 때와 비교하여 다른 결과를 볼 수 있습니다.
OneLake 보안을 사용하여 컴퓨팅 권한이 아닌 OneLake에서 데이터를 보호합니다. OneLake 보안은 사용자가 상호 작용할 수 있는 모든 엔진에서 일관된 결과를 보장합니다.
컴퓨팅 엔진에는 OneLake 보안에서 사용할 수 없는 고급 보안 기능이 있을 수 있습니다. 이 경우 일부 시나리오에서는 컴퓨팅 권한을 사용해야 할 수 있습니다. 컴퓨팅 권한을 사용하여 데이터에 대한 액세스를 보호하는 경우 보안이 설정된 컴퓨팅 엔진에 대해서만 최종 사용자에게 액세스 권한을 부여해야 합니다. 이 모범 사례는 필요한 보안 기능 없이 다른 엔진을 통해 데이터에 액세스하는 것을 방지합니다.
바로 가기의 보안
Microsoft Fabric의 바로 가기는 데이터 관리를 간소화합니다. OneLake 폴더 보안은 데이터가 저장되는 레이크하우스에 정의된 역할을 기반으로 한 OneLake 바로 가기에 적용됩니다.
바로 가기 보안 고려 사항에 대한 자세한 내용은 OneLake 보안 액세스 제어 모델 > 바로 가기를 참조하세요.
특정 바로 가기에 대한 액세스 및 인증 세부 정보에 대한 자세한 내용은 OneLake 바로 가기 유형을 참조하세요.
인증
OneLake는 인증에 Microsoft Entra ID를 사용합니다. 이를 사용하여 사용자 ID 및 서비스 주체에 권한을 부여합니다. OneLake는 Microsoft Entra 인증을 사용하는 도구에서 사용자 ID를 자동으로 추출하고 패브릭 포털에서 설정한 권한에 매핑합니다.
주의
Fabric 테넌트에서 서비스 주체를 사용하기 위해서는 테넌트 관리자가 전체 테넌트 혹은 특정 보안 그룹을 위한 서비스 사용자 이름 (SPN)을 활성화해주셔야 합니다. 테넌트 관리자 포털의 개발자 설정에서 서비스 주체 활성화에 대해 자세히 알아보세요.
감사 로그
OneLake 감사 로그를 보기 위해서는 Microsoft Fabric에서 사용자 활동 추적 에 대한 지침을 따라해 보세요. OneLake 작업 이름은 CreateFile 혹은 DeleteFile과 같은 ADLS API에 해당됩니다. OneLake 감사 로그에는 읽기 요청이나 Fabric 워크로드를 통해 OneLake에 전송된 요청이 포함되지 않습니다.
암호화 및 네트워킹
정지된 데이터
OneLake에 저장된 데이터는 기본적으로 Microsoft 관리형 키를 사용하여 미사용 시 암호화됩니다. Microsoft 관리 키가 적절하게 회전이 됩니다. OneLake는 데이터를 투명하게 암호화하고 암호 해독하며 FIPS 140-2를 준수합니다.
고객 관리형 키를 사용하여 미사용 시 암호화를 사용하여 소유하고 제어하는 키를 사용하여 다른 보호 계층을 추가할 수 있습니다. 자세한 내용은 패브릭 작업 영역에 대한 고객 관리형 키를 참조하세요.
전송 중인 데이터
Microsoft 서비스 간 공용 인터넷을 통해 전송 중인 데이터는 항상 TLS 1.2 이상을 사용하여 암호화됩니다. 가능하면 Fabric은 TLS 1.3을 사용하여 협상합니다. Microsoft 서비스 사이에서 트래픽은 항상 Microsoft 글로벌 네트워크를 통해서 라우팅됩니다.
인바운드 OneLake 통신도 TLS 1.2를 적용하고 가능한 경우 TLS 1.3으로 협상합니다. 고객 소유 인프라인 아웃바운드 Fabric 통신은 보안 프로토콜을 선호하기는 하지만 최신 프로토콜을 지원하고 있지 않은 경우에 이전의 안전하지 않은 프로토콜 (TLS 1.0 포함) 로 대체될 수 있습니다.
프라이빗 링크
Fabric에서 프라이빗 링크를 구성하려면 프라이빗 링크 설정 및 사용을 참조하세요.
Fabric 외부에서 실행 중인 앱이 OneLake를 통해 데이터에 액세스할 수 있도록 허용합니다.
패브릭 환경 외부에 있는 애플리케이션에서 OneLake 데이터에 대한 액세스를 허용하거나 제한할 수 있습니다. 관리자는 관리 포털 테넌트 설정의 OneLake 섹션에서 이 설정을 찾을 수 있습니다.
이 설정을 켜면 사용자는 모든 원본의 데이터에 액세스할 수 있습니다. 예를 들어 ADLS(Azure Data Lake Storage) API 또는 OneLake 파일 탐색기를 사용하는 사용자 지정 애플리케이션이 있는 경우 이 설정을 켭니다. 이 설정을 해제하면 사용자는 Spark, Data Engineering 및 Data Warehouse와 같은 내부 앱의 데이터에 계속 액세스할 수 있지만 패브릭 환경 외부에서 실행되는 애플리케이션의 데이터에 액세스할 수는 없습니다.