권한 모델
Microsoft Fabric에는 조직의 데이터에 대한 액세스를 제어할 수 있는 유연한 권한 모델이 있습니다. 이 문서에서는 Fabric의 다양한 권한 유형 및 해당 권한을 함께 사용하여 조직의 데이터에 대한 액세스를 제어하는 방법을 설명합니다.
작업 영역은 Fabric에서 항목을 그룹화하기 위한 논리 엔터티입니다. 작업 영역 역할은 작업 영역에 대한 액세스 권한을 정의합니다. 항목은 하나의 작업 영역에 저장되지만 Fabric에서 다른 사용자와 공유할 수 있습니다. Fabric 항목을 공유할 때 항목을 공유하는 사용자에게 부여할 권한을 결정할 수 있습니다. Power BI 보고서와 같은 특정 항목을 사용하면 데이터를 더욱 세부적으로 제어할 수 있습니다. 보고서를 설정할 수 있으므로 권한에 따라 보고서를 보는 사용자는 보유하는 데이터의 일부만 볼 수 있습니다.
작업 영역 역할
작업 영역 역할은 작업 영역 및 작업 영역 내 콘텐츠에 대한 액세스를 제어하는 데 사용됩니다. Fabric 관리자는 작업 영역 역할을 개별 사용자 또는 그룹에 할당할 수 있습니다. 작업 영역 역할은 특정 작업 영역으로 제한되며 다른 작업 영역, 작업 영역의 용량 또는 테넌트에 적용되지 않습니다.
4개의 작업 영역 역할이 있으며 작업 영역 내의 모든 항목에 적용됩니다. 이러한 역할이 없는 사용자는 작업 영역에 액세스할 수 없습니다. 역할은 다음과 같습니다.
시청자 - 작업 영역의 모든 콘텐츠를 볼 수 있지만 수정할 수는 없습니다.
기여자 - 작업 영역의 모든 콘텐츠를 보고 수정할 수 있습니다.
구성원 - 작업 영역의 모든 콘텐츠를 보고 수정하며 공유할 수 있습니다.
관리자 - 권한 관리를 포함하여 작업 영역의 모든 콘텐츠를 보고, 수정하며, 공유하고, 관리할 수 있습니다.
이 표에서는 각 역할이 보유한 몇 가지 기능 세트를 보여줍니다. 전체 및 자세한 목록은 Microsoft Fabric 작업 영역 역할을 참조하세요.
| 기능 | 관리자 | 멤버 | 참가자 | 뷰어 |
|---|---|---|---|---|
| 작업 영역 삭제 | ✅ | ❌ | ❌ | ❌ |
| 관리자 추가 | ✅ | ❌ | ❌ | ❌ |
| 맴버 추가 | ✅ | ✅ | ❌ | ❌ |
| 데이터 쓰기 | ✅ | ✅ | ✅ | ❌ |
| 항목 만들기 | ✅ | ✅ | ✅ | ❌ |
| 데이터 읽기 | ✅ | ✅ | ✅ | ✅ |
항목 권한
항목 권한은 작업 영역 내 개별 Fabric 항목에 대한 액세스를 제어하는 데 사용됩니다. 항목 권한은 특정 항목으로 제한되며 다른 항목에는 적용되지 않습니다. 항목 권한을 사용하여 작업 영역에서 개별 항목을 보고 수정하며 관리할 수 있는 사용자를 제어합니다. 항목 권한을 사용하여 사용자에게 액세스 권한이 없는 작업 영역의 단일 항목에 대한 액세스 권한을 부여할 수 있습니다.
사용자 또는 그룹과 항목을 공유하는 경우 항목 권한을 구성할 수 있습니다. 항목을 공유하면 기본값으로 사용자에게 해당 항목에 대한 읽기 권한이 부여됩니다. 읽기 권한을 사용하면 사용자가 해당 항목에 대한 메타데이터를 보고 관련 보고서를 조회할 수 있습니다. 그러나 읽기 권한으로는 사용자가 SQL 또는 OneLake의 기본 데이터에 액세스할 수 없습니다.
Fabric 항목에 따라 권한이 다릅니다. 각 항목의 권한에 대한 자세한 내용은 다음을 참조하세요.
컴퓨팅 권한
권한은 특히 SQL 분석 엔드포인트 또는 의미 체계 모델을 통해 Fabric의 특정 컴퓨팅 엔진 내에서도 설정할 수 있습니다. 컴퓨팅 엔진 권한을 사용하면 테이블 및 행 수준 보안과 같은 보다 세분화된 데이터 액세스 제어를 사용할 수 있습니다.
SQL 분석 엔드포인트 - SQL 분석 엔드포인트는 OneLake의 테이블에 대한 직접 SQL 액세스를 제공하고 SQL 명령을 통해 기본값으로 보안을 구성할 수 있습니다. 이 권한은 SQL을 통해 만들어진 쿼리에만 적용됩니다.
의미 체계 모델 - 의미 체계 모델을 사용하면 DAX를 사용하여 보안을 정의할 수 있습니다. DAX를 사용하여 정의된 제한 사항은 의미 체계 모델 또는 의미 체계 모델을 기반으로 빌드된 Power BI 보고서를 통해 쿼리하는 사용자에게 적용됩니다.
다음 문서에서 자세한 내용을 확인할 수 있습니다.
OneLake 권한(데이터 액세스 역할)
OneLake에는 OneLake 데이터 액세스 역할을 통해 OneLake의 파일 및 폴더에 대한 액세스를 제어할 수 있는 자체 권한이 있습니다. OneLake 데이터 액세스 역할을 사용하면 사용자가 레이크하우스 내에서 사용자 지정 역할을 만들고 OneLake에 액세스할 때 지정된 폴더에만 읽기 권한을 부여할 수 있습니다. 각 OneLake 역할에 대해 사용자는 사용자, 보안 그룹을 할당하거나 작업 영역 역할에 따라 자동 할당을 부여할 수 있습니다.
OneLake 데이터 액세스 제어 모델에 대해 자세히 알아보고 방법 가이드를 확인합니다.
연산 순서
Fabric에는 세 가지 보안 수준이 있습니다. 데이터에 액세스하려면 사용자가 각 수준에서 액세스할 수 있어야 합니다. 각 수준은 순차적으로 평가하여 사용자에게 액세스 권한이 있는지 확인합니다. Microsoft Information Protection 정책과 같은 보안 규칙은 지정된 수준에서 액세스의 허용 여부를 평가합니다. Fabric 보안을 평가할 때의 작업 순서는 다음과 같습니다.
- Entra 인증: 사용자가 Microsoft Entra 테넌트에 인증할 수 있는지 확인합니다.
- Fabric 액세스: 사용자가 Microsoft Fabric에 액세스할 수 있는지 확인합니다.
- 데이터 보안: 사용자가 테이블 또는 파일에서 요청된 작업을 수행할 수 있는지 확인합니다.
예제
이 섹션에서는 Fabric에서 권한을 설정하는 방법에 대한 두 가지 예제를 제공합니다.
예제 1: 팀 권한 설정
Wingtip Toys는 전체 조직에 대해 하나의 테넌트와 3개의 용량으로 설정됩니다. 각 용량은 다른 하위 지역을 나타냅니다. Wingtip Toys는 미국, 유럽 및 아시아에서 운영됩니다. 각 용량에는 영업 부서를 포함하여 조직의 각 부서에 대한 작업 영역이 있습니다.
영업 부서에는 관리자, 영업 팀 책임자 및 영업 팀 구성원이 있습니다. 또한 Wingtip Toys는 전체 조직에 대해 한 명의 분석가를 고용합니다.
다음 표에서는 영업 부서의 각 역할에 대한 요구 사항 및 이를 사용하도록 권한을 설정하는 방법을 보여줍니다.
| 역할 | 요건 | 설정 |
|---|---|---|
| Manager | 전체 조직의 영업 부서에서 모든 콘텐츠 보기 및 수정 | 조직의 모든 영업 작업 영역에 대한 구성원 역할 |
| 팀 리더 | 특정 하위 지역의 영업 부서에서 모든 콘텐츠 보기 및 수정 | 하위 지역의 영역 작업 영역에 대한 구성원 역할 |
| 영업 팀 구성원 | ||
| Analyst | 전체 조직의 영업 부서에서 모든 콘텐츠 보기 | 조직의 모든 영업 작업 영역에 대한 시청자 역할 |
Wingtip에는 영업 구성원당 영업 수익을 나열하는 분기별 보고서도 있습니다. 이 보고서는 재무 작업 영역에 저장됩니다. 행 수준 보안을 사용하면 각 영업 구성원이 자신의 영업 관련 수치만 볼 수 있도록 보고서가 설정됩니다. 팀 책임자는 해당 하위 지역의 모든 영업 구성원에 대한 영업 관련 수치를 볼 수 있으며, 영업 관리자는 조직의 모든 영업 구성원에 대한 영업 관련 수치를 볼 수 있습니다.
예제 2: 작업 영역 및 항목 권한
항목을 공유하거나 해당 권한을 변경하는 경우 작업 영역 역할은 변경되지 않습니다. 이 섹션의 예제에서는 작업 영역 및 항목 권한이 상호 작용하는 방법을 보여줍니다.
Veronica와 Marta는 함께 근무합니다. Veronica는 Marta와 공유하고 싶은 보고서의 소유자입니다. Veronica가 Marta와 보고서를 공유하는 경우 Marta는 자신이 보유한 작업 영역 역할에 관계없이 보고서에 액세스할 수 있습니다.
보고서가 저장되는 작업 영역에서 Marta에게 시청자 역할이 있다고 가정합니다. Veronica가 보고서에서 Marta의 항목 권한을 제거하기로 결정한 경우에도 Marta는 작업 영역에서 여전히 보고서를 볼 수 있습니다. Marta는 작업 영역에서 보고서를 열고 해당 콘텐츠를 볼 수도 있습니다. 이는 Marta에 작업 영역에 대한 보기 권한이 있기 때문입니다.
Veronica가 Marta의 보고서 조회를 차단하려면 보고서에서 Marta의 항목 권한을 제거하는 것만으로는 충분하지 않습니다. 또한 Veronica는 작업 영역에서 Marta의 시청자 권한을 제거해야 합니다. 작업 영역 시청자 권한이 없으면 Marta는 작업 영역에 액세스할 수 없으므로 보고서가 존재하는 것을 확인할 수 없습니다. 또한 Marta는 보고서에 액세스할 수 없기 때문에 보고서 링크를 사용할 수 없습니다.
Marta에 작업 영역 시청자 역할이 없으므로 Veronica가 보고서를 다시 공유하기로 결정한 경우 Marta는 작업 영역에 액세스하지 않고도 Veronica가 공유하는 링크를 사용하여 보고서를 볼 수 있습니다.
예제 3: Power BI 앱 권한
Power BI 보고서를 공유할 때 수신자가 작업 영역의 항목이 아닌 보고서에만 액세스할 수 있도록 하는 경우가 많습니다. 이를 위해 Power BI 앱을 사용하거나 사용자와 직접 보고서를 공유할 수 있습니다.
또한 RLS(행 수준 보안)를 사용하여 데이터에 대한 뷰어 액세스를 제한할 수 있습니다. RLS를 사용하여 데이터의 특정 부분에 액세스할 수 있는 역할을 만들고 사용자 ID가 액세스할 수 있는 항목만 반환하여 결과를 제한할 수 있습니다.
이는 의미 체계 모델에서 데이터를 가져오고 수신자가 앱의 일부로 이에 액세스할 수 있으므로 가져오기 모델을 사용할 때 효율적으로 작동합니다. DirectLake를 사용하여 보고서는 레이크하우스에서 직접 데이터를 읽고 보고서 수신자는 레이크에서 이러한 파일에 액세스해야 합니다. 여러 방법으로 이를 수행할 수 있습니다.
ReadData에 레이크하우스의 권한을 직접 부여합니다.- 데이터 원본 자격 증명을 SSO(Single Sign On)에서 레이크의 파일에 액세스할 수 있는 고정 ID로 전환합니다.
RLS는 의미 체계 모델에서 정의되므로 데이터를 먼저 읽은 다음, 행이 필터링됩니다.
보고서가 빌드된 SQL 분석 엔드포인트에 보안이 정의된 경우 쿼리는 DirectQuery 모드로 자동 폴백됩니다. 이 기본 폴백 동작을 원하지 않는 경우 원래 레이크하우스의 테이블에 대한 바로 가기를 사용하여 새 레이크하우스를 만들고 새 레이크하우스의 SQL에서 RLS 또는 OLS를 정의하지 않을 수 있습니다.