레이크하우스를 데이터 과학 팀을 위해서 확보하기 위한 방법
소개
이 문서에서는 데이터 과학 팀 및 워크로드에 사용하실 수 있게 하기 위해서 Fabric의 레이크하우스를 위한 보안을 구성하기 위한 방법에 대한 개요를 제공해 드립니다.
보안 기능
Microsoft Fabric은 필요한 최소 사용 권한만 제공해 드리기 위해 다양한 수준에서 사용해 보실 수 있는 다양한 제어 기능을 갖추고 있는 다중 계층 보안 모델을 사용합니다. Fabric에서 사용해 보실 수 있는 다양한 보안 기능을 위한 자세한 정보는 이 문서를 확인해 주세요.
사용 사례별로 보호
Microsoft Fabric의 보안은 특정 사용 사례를 위한 데이터 보안을 중심으로 하여 최적화되어 있습니다. 사용 사례는 특정 액세스가 사용 권한을 필요로 하고 지정된 엔진을 통해서 데이터에 액세스하시는 사용자 집합인 것입니다. 데이터 과학 시나리오의 경우에는 다음과 같은 몇 가지 사용 사례가 있습니다:
- Apache Spark 기록기: Apache Spark 노트북을 사용하셔서 레이크하우스에 데이터를 작성하셔야 하는 사용자입니다.
- Apache Spark 읽기 권한자: Apache Spark 노트북을 사용하셔서 데이터를 읽어보셔야 하는 사용자입니다.
- 파이프라인 읽기 권한자: 파이프라인을 사용하셔서 레이크하우스의 데이터를 읽어보셔야야 하는 사용자입니다.
- 바로 가기 작성자: 레이크하우스의 데이터를 위한 바로 가기를 만드셔야 하는 사용자입니다.
그런 다음에는 각 사용 사례를 Fabric에서 필요한 사용 권한에 맞춰보실 수 있습니다.
쓰기 액세스
Fabric 에서 데이터를 작성하셔야 하는 사용자의 경우에 Fabric 작업 영역 역할을 통해서 액세스가 제어되어 집니다. 쓰기 사용 권한을 부여하시는 세 가지 작업 영역 역할인 관리, 구성원 및 기여자가 있습니다. 필요하신 역할을 선택하셔서 사용자에게 액세스 사용 권한을 부여해 주세요.
쓰기 액세스 사용 권한을 가지고 있는 사용자는 OneLake 데이터 액세스 역할 (미리 보기) 에 의한 제한을 받지는 않습니다. 쓰기 사용자는 SQL Analytics 엔드포인트 데이터를 통해서 데이터를 위한 액세스를 제한해 보실수는 있지만 OneLake의 데이터를 위한 모든 사용 권한을 유지하실 수 있습니다. 쓰기 사용자를 위한 데이터에 대한 액세스를 제한하기 위해서는 해당 데이터를 위한 별도의 작업 영역을 만들어 주셔야 합니다.
읽기 액세스
파이프라인 혹은 Apache Spark 노트북을 사용하셔서 데이터를 읽으셔야 하는 사용자의 경우에 사용 권한은 OneLake 데이터 액세스 역할 (미리 보기)을 통해 패브릭 항목 사용 권한으로 제어됩니다. 패브릭 항목 사용 권한은 사용자가 보실 수 있는 항목과 해당 항목에 액세스하실 수 있는 방법을 관리해 드립니다. OneLake 데이터 액세스 역할은 사용자가 OneLake에 연결해 보시는 경험을 통해서 액세스를 해보실 수 있는 데이터를 결정해 드리는 것입니다. OneLake 데이터 액세스 역할 미리 보기를 활성화하지 않은 레이크하우스의 경우에 액세스는 ReadAll 항목 사용 권한으로 제어되시고 OneLake 데이터를 위한 액세스는 전체 레이크하우스에 대해 부여되게 되는 것입니다.
데이터를 읽어보시기 위해서는 먼저 사용자가 해당 데이터를 가지고 있는 레이크하우스에 액세스를 해주셔야 합니다. 레이크하우스를 위한 액세스 사용 권한 부여는 작업 영역 페이지 혹은 레이크하우스 UI 내에서 레이크하우스의 공유 버튼을 선택해 주셔서 실행해 보실 수 있습니다. 해당 사용자의 전자 메일 주소 혹은 보안 그룹을 입력해 주시고 공유를 선택해 주세요. (추가 사용 권한 상자는 선택하지 않으신 상태로 둡니다.. OneLake 데이터 액세스 역할 미리 보기를 활성화하지 않으신 레이크하우스의 경우에 모든 OneLake 데이터 읽기 (ReadAll)) 상자를 선택해 주세요.
그런 다음 레이크하우스로 이동하셔서 OneLake 데이터 액세스 관리 (미리 보기) 버튼을 선택해 주세요. 이러한 옵션을 사용하게 되시면 사용자에게 레이크하우스의 특정 폴더를 보시고 읽어보실 수 있는 액세스 사용 권한을 부여하시는 역할을 만들어 보실 수 있습니다. 폴더를 위한 액세스는 기본적으로 허용되고 있지 않습니다. 역할에 추가된 사용자에게 해당 역할이 적용되는 폴더를 위한 액세스 사용 권한이 부여되어 집니다. 자세한 정보는 OneLake 데이터 액세스 역할 (미리 보기)을 확인해 주세요. 필요에 따라서 역할을 만드셔서 파이프라인, 바로 가기 혹은 Spark 노트북을 통해서 폴더를 읽어보실 수 있는 사용 권한이 사용자에게 부여되는 것입니다.
Important
OneLake 데이터 액세스 역할 미리 보기를 사용하시는 모든 레이크하우스는 레이크하우스 데이터를 위한 액세스 사용 권한을 부여하시는 DefaultReader 역할이 있습니다. 사용자가 모두 읽기 사용 권한을 가지고 계신 경우에 다른 데이터 엑세스 역살의 제한을 받는 것은 아닙니다. 데이터 액세스 역할에 포함된 모든 사용자가 DefaultReader 역할에 속해져 계시지 않거나 DefaultReader 역할을 제거하지 말아 주셔야 합니다.
바로 가기와 함께 사용
바로 가기는 데이터를 물리적으로 복사하지 않으시고도 한 위치에서 데이터를 참조하실 수 있게 해드리는 OneLake 기능입니다. 바로 가기에 대한 자세한 정보는 여기에서 설명서를 확인해 주세요.
OneLake의 다른 폴더와 마찬가지로 바로 가기에서 사용해 보실 수 있는 데이터를 보호하실 수 있습니다. 데이터 액세스 역할을 구성해보신 이후에 다른 레이크하우스의 사용자는 액세스 사용 권한을 가지고 계신 폴더를 위한 바로 가기만 만들 어 보실 수 있습니다. 이를 사용하셔서 다른 작업 영역에서의 사용자에게 레이크하우스에서만 일부의 데이터에서만 엑세스하실 수 있게 해드릴 수 있습니다.
Important
SQL Analytics 엔드포인트에서는 바로 가기에 액세스 하시게 하기 위한 고정 ID를 사용해 주세요. 사용자가 SQL Analytics 엔드포인트를 통해서 바로 가기 테이블을 쿼리를 하실 때 바로 가기를 위한 액세스를 하기 레이크하우스 소유자의 ID를 확인해 드립니다. 즉, SQL 쿼리에 사용하기 위한 바로 가기를 만드실 때 레이크하우스 작성자는 선택하신 폴더를 위한 액세스만을 제한하고 있는 OneLake 데이터 액세스 역할의 일부여야 합니다.